明文(クリアテキスト)は、追加の処理を行わなくても人間がすぐに理解できる形式のメッセージやデータを指します。通信や保存の際に暗号化されていない状態であることを意味し、第三者がそのまま読める形式です。電気通信の分野では、しばしばin clear、en clair、in the clearといった表現(表現として)が使われます。例としては、プレーンテキストのメール本文やパスワードを平文で送信するケースなどがあります。
「明文」と「平文」の違い
用語としては「平文」という言葉と混同されがちですが、厳密には少し異なります。形式的には、平文とは符号化や暗号化処理の入力として与えられる情報のことであり、暗号文とはその処理から出てくる情報を指します。つまり、平文は暗号化の前段階として取り扱われる「元のデータ」で、明文(クリアテキスト)は読める形で表現されたデータ全般を指すことが多い、という違いです。
また、実際の運用では平文がそのまま明文であるとは限りません。たとえば、平文は暗号文に変換される前に圧縮されたり、符号化(エンコード)されたり、形式を変えられたりすることがあります。そのため、表面上は人間に読める形であっても「平文ではない平文を見つけること」はよくあります。要するに「平文=必ずしもそのままの明文」ではない点に注意が必要です。
暗号化されていない通信のリスク
インターネット上で暗号化されていない通信を行うと、第三者による盗聴やデータ改ざんのリスクが高まります。典型的な例として、HTTP を使用しているウェブサイトがあります。HTTP(暗号化されていないプロトコル)は、フォームに入力したユーザー名やパスワードを含む全データをクリアテキストで送信します。これにより、ネットワーク上の機器(ルーターや中間のプロキシなど)や、その媒体にアクセスできる第三者は、送受信された内容を容易に読み取れます。実際には、以下のようなリスクがあります。
- 認証情報の盗用(ログイン情報、APIキーなど)
- 機密情報の漏洩(個人情報、財務情報、社内資料)
- セッションハイジャック(クッキーやトークンが盗まれ不正ログインに使われる)
- 改ざん(途中でメッセージやファイルを書き換えられる)
- リプレイ攻撃(過去の通信を再送して不正操作を行う)
また、無線環境ではさらにリスクが高まり、無線伝送などの電波を傍受できる者は容易にクリアテキストを取得できます。中間機器(ルーター、コンピュータ、通信機器など)にアクセス権がある者も同様に情報を覗き見できます。
具体的な被害事例と検出方法
クリアテキスト送信が原因で起きる具体例:
- 公共のWi‑Fiで送信したログイン情報が盗まれ、アカウント乗っ取りにつながる。
- メールの本文が暗号化されておらず、機密情報が外部に漏洩する。
- 未保護のAPIエンドポイントが平文で通信し、APIキーが盗まれる。
検出・確認には次のような方法があります:
- ブラウザのアドレスバーでHTTPS/鍵アイコンを確認する。
- ネットワークトラフィックをキャプチャして平文が含まれていないか調査する(許可のある環境でのみ)。
- セキュリティスキャナーや侵入検知システムで未暗号化通信を検出する。
対策と推奨される実践
クリアテキストによる漏洩を防ぐための基本的な対策:
- 全てのウェブ通信にTLS(HTTPS)を導入する。常時HTTPS化とHSTSの適用を行う。
- リモートアクセスにはSSHやVPNなど暗号化トンネルを利用する。
- データ保存時は暗号化(データベースのフィールド暗号化、フルディスク暗号化)を行う。
- パスワードは平文で保存しない。ハッシュ化(適切なソルトとワークファクターを利用)する。
- 古いプロトコル(例:TLS 1.0/1.1、SSLv3)や弱い暗号スイートの無効化。
- 公開鍵基盤(PKI)や証明書の適切な管理、証明書ピンニングの検討。
- ユーザー教育:公共Wi‑Fi利用時の注意、パスワード再利用の禁止、二段階認証の推奨。
まとめ — 安全な通信を実現するために
明文(クリアテキスト)は便利ですが、そのまま送受信・保存すると重大なセキュリティリスクを招きます。特にウェブでは、HTTP を使った通信がクリアテキストで行われると、入力したユーザー名やパスワードを含めた情報が簡単に傍受されます。ネットワーク上の機器(ルーター、コンピュータ、通信機器など)や無線伝送路(無線伝送など)にアクセスできる者は、クリアテキストを読み取ることができるため、適切な暗号化の導入と運用が不可欠です。
技術的対策と運用ルールの両方を組み合わせて、明文による漏洩リスクを最小化してください。