Google「Chrome」ブラウザ、7月から全てのHTTPサイトをURLバーで「Not secure」と表示:サイトのHTTPS化を一段と後押し
Googleの「Chrome」ブラウザが2018年7月から、全てのHTTPサイトを「Not secure」と表示することについて、ESETが功罪を解説した。
スロバキアのセキュリティ企業ESETは2018年2月12日(現地時間)、Googleの「Chrome」ブラウザが2018年7月から、暗号化されていないHTTPプロトコルを使い続けているWebサイトを「Not secure」(安全ではない)と表示すると発表されたことを受け、公式ブログでこのニュースを解説した。
以下、内容を抄訳する。
HTTPから大幅に改良されたHTTPSプロトコルは、Webサイトのサーバとユーザーのコンピュータ間のエンドツーエンドの暗号化を実現し、ユーザーがサイトに送信するメッセージや、サイトからダウンロードする情報などの傍受を防止する。
2017年には多数のサイトがHTTPSに移行しており、これはセキュリティやプライバシーに関心を持つ全ての人にとって素晴らしいニュースだ。
Googleのブログエントリーによると、現在、AndroidおよびWindows上でのChromeトラフィックの68%以上が、HTTPSで保護されている。この数字はChrome OSやMac上では78%以上になる。しかも、上位100のWebサイトのうち、81サイトがデフォルトでHTTPSを使用しているという。
目覚ましい前進だが、GoogleはHTTPSの採用をさらに強力に後押ししようとしている。
Chromeは2017年初めから、パスワードやクレジットカード情報を収集するHTTPページにアクセスすると、オムニボックスで「Not secure」と表示するようになった。さらに、プライベートブラウジングモードでHTTPページを訪問した場合や、ユーザーがHTTPページでデータを入力した際も、この警告を表示するようになった。
だが、今度は全てのHTTPサイトを「Not secure」と認定することになる。HTTPサイトのオーナーは、サイト訪問者がこの警告にどう反応するかを考える必要がある。この警告は多くのユーザーを不安にさせそうだ。
だが、多くのインターネットユーザーは、暗号化された安全なHTTPS接続と、適切にセキュリティが確保されているWebサイトの違いを、理解していないかもしれない。つまり、あるWebサイトがHTTPSを使用していても、100%信頼できるとは限らない。同様に、まだHTTPを使っているWebサイトでも、他のセキュリティ対策や個人情報の扱いはきちんとしているかもしれない(そうしたサイトがHTTPSに非対応であることは考えにくいが)。
Googleとしては板挟みだ。Webサイトが、訪問するユーザーのコンピュータ間で、情報を適切に暗号化しているかどうかを示すマークは、ユーザーにとって分かりやすく、よく目立つ。同時に、サイトが「完全に安全」(または「全く安全ではない」)という連想にならないことが望ましいが、そうしたマークはありそうもない。
Chromeの警告は、完全ではないかもしれないが、現時点で望み得るベストだ。もしGoogleが将来、「Not secure」の文字色をグレーから鮮やかな赤に変え、三角形の警告マークとともに表示すれば、警告の効果とともに副作用も増幅されそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Google Chromeとは?
世界シェアでInternet Explorer(IE)を超えて1位になるなど、多くのユーザーを獲得しているGoogleのWebブラウザ「Google Chrome」。受け入れられている理由は? そのメリットや注意点を解説します。 - 【Google Chrome】同期パスフレーズを設定してセキュリティを高める(Windows/iPhone/Android)
Google Chrome同士がブックマークやパスワード、履歴などを同期する際、そのデータはGoogleのサーバ上で暗号化され、Googleアカウントの認証情報で保護されます。それだけでは不安なら、暗号化キー(同期パスフレーズ)を自分で設定することで、セキュリティレベルを上げることができます。 - 「LINE乗っ取り」に「Chrome拡張機能のマルウェア化」――11月のセキュリティ怖い話
2016年11月のセキュリティクラスタは、「Chrome拡張機能の突然のマルウェア化」や「LINEアカウントの乗っ取り」事件を受け震え上がる一方で、詳細が公開された「情報処理安全確保支援士」の制度内容にはやはり納得がいかないのでした。