Google Chrome、拡張機能やNPAPI関連のセキュリティ強化策推進：2013年11月に打ち出した方針を実行に

米グーグルはChromeのセキュリティ強化策として、Chrome Web Storeに登録されていないWindows版の拡張機能をインストールできなくする措置を取った。

[鈴木聖子，＠IT]

　米グーグルは2014年5月27日、Webブラウザー「Chrome」のセキュリティ強化策として同日から、Chrome Web Storeに登録されていないWindows版の拡張機能をインストールできなくする措置を取ったと発表した。また、Netscape Plugin Application Programming Interface（NPAPI）のサポートを段階的に打ち切る方針に従って、Chrome Web Storeのホームページや検索結果、カテゴリページにはNPAPIベースのアプリや拡張機能が表示されなくなった。

　Chromeの拡張機能については、ユーザーの許可なく設定を変更し、広告を挿入したりブラウザー上の行動を追跡したりするなどの不正が横行している実態に対応して、Windows版の拡張機能は全てChrome Web Storeでのホスティングを義務付ける方針を2013年11月に打ち出していた。

　今回の措置に伴い、過去にインストールされた拡張機能が自動的に無効になったり、Chrome Web Storeに登録されるまで再インストールできなくなったりすることもある。もしまだChrome Web Storeに登録していない拡張機能があれば、直ちに登録するよう促している。

　一方、開発の課程でローカルにインストールする拡張機能や、エンタープライズポリシー経由のインストールは引き続きサポートする。Webサイトから拡張機能をインストールさせる仕組みを構築している場合は、ユーザーがそのサイトから離れることなくChrome Web Storeでホスティングされている拡張機能を導入できる「インラインインストール」機能が利用できる。Windowsデベロッパーチャネルのユーザーや、他のOSのユーザーは影響を受けないという。

　NPAPIについては、Chromeのセキュリティや速度、安定性を向上させるため、2014年末でサポートを打ち切る計画を2013年9月に表明していた。過去数カ月でNPAPIプラグインの使用は順調に減り、NPAPIを使ったMicrosoft SilverlightやGoogle Earth、Javaなどのプラグインの使用頻度も減少したとしている。

　Chrome Web Storeでは2013年9月23日からNPAPIベースのアプリや拡張機能の受け付けを停止し、2014年1月からはWebページ上のNPAPIプラグインをデフォルトでブロックする措置を導入。5月20日にリリースされたChrome 35ではLinux版でNPAPIのサポートを打ち切った。

　今後はChrome 37で回避されにくいページアクションブロッキングUIを導入し、NPAPIプラグインをブロックする。

　グーグルによれば、かつてNPAPIを必要とした機能のほとんどは、JavaScriptベースのオープンWeb技術を使って実装できるようになった。同社は低レベルAPIを必要とする少数のアプリケーションのためのサンドボックス技術「Native Client」も提供しており、最近では低遅延のマルチメディ再生を可能にする「MediaStreams API」や、動画の効率的なデコードのための「Hardware Decode API」が公開された。