Google、HTTP サイトに警告を表示へ

2016.09.23

Google Chrome は 2017 年 1 月から、暗号化されていないサイトの一部を「Not Secure (安全でないサイト)」という警告を表示すると発表しました。


この「安全でない」の表示は、暗号化していないサイトに恥ずかしい思いをさせて暗号化を促進させようとする Google の計画の第一歩です。


Google セキュリティチームの Emily Schechter 氏は 9 月 8 日に公式の Google セキュリティブログで、第一段階はパスワードやクレジットカード情報を送信している HTTP サイトにマークを表示することだと述べています。


Google は以前から HTTPS の使用を推奨しています。


NSA (米国家安全保障局)、GCHQ (英政府通信本部)、FBI (米連邦捜査局) などによる監視が次々公表されていた 2014 年 3 月、Google は常時 HTTPS 接続の使用を開始するとともに、Google のサーバー内で送受信されるすべての Gmail メッセージを暗号化するようになりました。


当時、Google が処理する要求のうち、暗号化されていたのはわずか 50% でした。


つまり、最大規模のトラフィックが行き来する Web サイトがセキュリティ上脆弱であったことになります。たとえば、主要なニュースサイトの場合、侵入者によるコンテンツの改ざんやユーザーの監視が深刻な影響を及ぼす可能性があります。


暗号化されたサイトの割合は、この 2 年間徐々に増加しています。Google は 3 月に発表した透明性レポートで、YouTube 以外のインターネットトラフィックの 75% を保護していると述べています。


また、インターネットが全ユーザーにとって安全なものとなるよう責任を果たすこと、そして他社に対しても暗号化を奨励することが Google の目標だと述べています。


過去 2 年間で大きな進歩を遂げましたが、トラフィックの 25% は今も暗号化されていません。


HTTP サイトでは、一般的に HTTPS と呼ばれる暗号化が用いられていません。サイトが HTTPS を使用している場合、ブラウザのアドレスバーには鍵のマークが表示されます。


HTTPS ではない場合、トラフィックは暗号化標準である TLS (Transport Layer Security) を使用しないまま送受信されます。


HTTPS を使用する目的は、暗号化によってもたらされる機密性だけではありません。場合によっては、データの信頼性と完全性の方が重要です。


たとえばコーヒーショップなどの Wi-Fi でトラフィックが暗号化されていない場合、ユーザーのオンラインアクティビティは他のユーザーに見えてしまい、パスワードやオンラインバンキング情報が盗まれる可能性があります。また、インターネットサービスプロバイダ (ISP) がオンラインアクティビティを追跡して、広告主に販売する可能性もあります。


政府およびサイバー犯罪者によって、ユーザーがアクセスしているサイトや読んでいる記事が監視されたり、表示されるコンテンツやアクセス先のサイトが改ざんされたりします。その目的はコンテンツの検閲であったり、別のオンラインバンキング口座への入金であったりします。


暗号化されるトラフィックが増加していることに加え、Google は Chrome デスクトップページの読み込みの半数以上が HTTPS で実行されるという節目を先日迎えました。


さらに、Google が透明性レポートを発表した 2 月以降、上位 100 個の Web サイトのうち 12 個が HTTP から HTTPS に切り替わりました。


現在 Chrome では HTTP 接続を特にセキュリティが欠落しているものとして表示してはいません。


しかし、Chrome 56 の提供が開始される 2017 年 1 月からは、暗号化されていないサイトのパスワードやクレジットカードのフィールドには「安全でない」というマークが表示されます。


さらに、それ以降のリリースでは HTTP の警告が拡張される予定です。たとえば、プライバシーが守られると一般的に思われているシークレットモードでも HTTP ページに「安全でない」というマークを表示します。


最終的にはすべての HTTP ページに「安全でない」マークが表示され、セキュア接続が利用できない場合 (Broken HTTPS) に使用されている赤色の三角形/感嘆符のマークに変更される予定です。


これは朗報です。しかし、Google も当然知っているでしょうが、セキュリティ警告は 87% の確率でユーザーに無視されてしまうため、ユーザーが無視できないような方法で表示されることを願って止みません。


Google は、以前に比べれば暗号化は簡単かつ低コストになっていると訴えています。


また、暗号化することで Web サイトのパフォーマンスは向上し、HTTP ではコストがかかり過ぎるために不可能だったパワフルな新機能を提供できるようになる、とも述べています。


Google は開発者向けにセットアップガイド(リンク先:英語)を提供しています。

引用元

おすすめの記事はこちら