Chrome のセキュリティにとって大きな一歩: HTTP ページに「保護されていません」と表示されるようになります

Google では、Chrome を最初にリリースした時から、セキュリティを Chrome の基本原則の 1 つと考え、ウェブを閲覧するユーザーの安全を守る(英語)ために常に取り組んできました。Chrome で HTTPS によって暗号化されていないサイトに「保護されていません」と表示し、最終的にはすべての非暗号化サイトにこの警告を表示すると発表(英語)したのは、およそ 2 年前のことです。この警告により、ウェブ上で銀行口座の確認やコンサート チケットの購入などを行う際に、個人情報が保護されるかどうかを簡単に知ることができます。7 月 25 日より、Google はすべての Chrome ユーザーを対象にこの変更のロールアウトを開始しました。

Chrome の最新バージョン(68)から、HTTP ページにアクセスすると、「保護されていません」という通知が新たに表示されるようになります。

暗号化された接続が増えれば、セキュリティが高まる



ウェブサイトを通常の HTTP で読み込む場合、サイトへの接続は暗号化されません。つまり、ネットワーク上にいる誰もが、やり取りされる情報を見ることができ、コンテンツが表示される前に内容を改ざんすることさえできます。HTTPS ではサイトへの接続が暗号化されているため、通信を盗み見ようとしてもアクセスできず、サイトに送信される情報(パスワードやクレジット カード情報など)が開示されることはありません。

Chrome に「保護されていません」という警告を表示することで、ユーザーはアクセスしているサイトへの接続が安全でないことを確認でき、同時にサイトの所有者がサイトのセキュリティを強化するための動機付けとなります。約 2 年前の発表以来、HTTPS の使用は驚異的な伸びを見せました。Google の透明性レポートでは、次のような結果が出ています。
  • Android の Chrome トラフィックは、現在 76% が保護されています(2 年前は 42%)
  • ChromeOS の Chrome トラフィックは、現在 85% が保護されています(2 年前は 67%)
  • 上位 100 位中 83 のウェブサイトが、デフォルトで HTTPS を使用しています(2 年前は 37)
すべての HTTP ページに警告表示を開始するまでに時間がかかることは明らかでしたので、暗号化されていないページでパスワードやクレジット カード情報が収集される場合にマークを付けることから始めました。その後、「保護されていません」という警告が表示される状況をさらに 2 つ追加しました。ユーザーが HTTP ページにデータを入力するときと、シークレット モードで HTTP ページにアクセスしたときです。

Google の最終的な目標は、サイトが安全でない場合にのみ Chrome でマークを表示し、デフォルトのマークのない状態は安全であるようにすることです。2018 年 9 月から「保護された通信」の表示の削除を開始し、徐々にこの目標を実現していく予定です。さらに 2018 年 10 月からは、ユーザーが HTTP ページにデータを入力するときに表示される「保護されていません」の警告を赤に変更する予定です。

10 月に公開される Chrome のバージョン(70)では、HTTP ページにデータを入力すると「保護されていません」という通知が赤字で表示されます。

暗号化を容易にする



Google では、サイトを HTTPS に移行(または新たに構築)しようとしているサイト所有者ができるだけシンプルにコストをかけずに実現できるように、サポートを提供しています。これまで、Google App Engine でのマネージド HTTPS の提供、すべての .app ドメインでの HTTPS 接続の必須化および自動化、(Chrome がプラチナ スポンサーである)Let’s Encrypt による証明書の無料発行と自動認証などの改善を図ってきました。なお、HTTPS への移行中は、Search Console からのメッセージに記載された詳細情報とガイダンスを確認してください。

これからは、サイトが HTTPS でデータを保護していない場合は警告が表示されますので、コンサート チケットを購入したり、オンライン バンキングを利用したりするときもご安心ください。皆様が最も安全なブラウザを使用していると確信できるよう、Google では今後も Chrome のセキュリティを強化していきます。