グーグル、数十億人が利用するChromeに「画期的」な新セキュリティ対策
デジタル時代の今、誰もが毎日、オンラインの脅威にさらされている。しかし、そんな脅威から保護されるか、犠牲になるかは「わずか数分間の問題」による。この問題に取り組むために、グーグルはデスクトップおよびiOSのChromeユーザー向けに新たなセキュリティとプライバシーの保護を導入した。
これらの新機能は、フィッシング攻撃の検出とブロックをより効率的に行うように考えられている。グーグルは、このアップデートによってブラウザが検出、ブロックしたフィッシング攻撃の数は25%増えたという。
■時間勝負、悪意あるサイトは「10分間以下」しか存在していない
グーグルのChromeとセーフブラウジングの各責任者が3月14日に公開した統計によると、サイバー犯罪者がユーザーの個人データを盗んで金銭にアクセスするために使用される悪意のあるサイトは、平均「10分間以下」しか存在していない。それは、犯罪者にとってはチャンスの時間であり、Chromeのセーフブラウジング機能などが守ってくれることを期待しているユーザーにとっては危険な時間だ。しかし、流れは変わりつつある。グーグルはセーフブラウジング機能の更新を発表し、チャンスの時間を最小の隙間に変えようとしている。
グーグルによると、セーフブラウジングの標準保護モードでは、潜在的に危険であることがすでにわかっているウェブサイトとファイルのリストを使用する。リストは30~60分ごとに更新される。これは、グーグルとユーザーが気づかないうちに、3つの悪質サイトが現れては消えていく可能性があることを意味している。
「ハッカーの進化のペースに追いつき、デスクトップおよびiOSでChromeを使っているユーザー全員を保護するために、セーフブラウジング機能にリアルタイムのプライバシーに配慮したURL保護を導入。さらに、iOS版Chromeでは、安心してウェブを使う方法の1つとして、新たなパスワード保護を採用します」とグーグルは発表した。
新しいセーフブラウジング機能の仕組み
これは、現在セーフブラウジングが毎日100億を超えるアドレスとファイルをチェックして、300万回以上アラートを表示している数十億台のデバイスが、これからはリアルタイムで保護されることを意味している。「もし、サイトがあなたやあなたのデバイスを危険にさらす疑いがあれば、詳しい情報とともに警告を表示します。リアルタイムにサイトをチェックすることで、フィッシング攻撃を今より25%多くブロックできると予測しています」
■新しいセーフブラウジング機能の仕組み
新機能(Androidユーザーには今月後半提供予定)は「暗号化などのプライバシーを強化した技術を用いることで、ユーザーがどのウェブサイトを訪れているかを、グーグルを含め、誰も知ることがないことを保証します」とグーグルはいう。
これまでグーグルは、性能的な理由から、ユーザーが訪れたサイトを、ローカルに保存したリストに照らし合わせてチェックし、そのリストは30~60分ごとに更新されていた。「リアルタイム保護へ移行するために、チェックはセーフブラウジングサーバーで維持されているリストに対して行うようにする必要があります」。このサーバーサイドのリストには、発見された直後の悪質サイトも含まれている。
グーグルはその仕組みを次のように説明している。
「ユーザーがサイトを訪れると、Chromeはまずキャッシュをチェックして、サイトのアドレスがすでに安全だとわかっているかどうかを確認する。もし状態が不明であれば、リアルタイムチェックを行うために、まずURLを32バイトのフルハッシュに変換して難読化する。その後、切り捨てて4バイトのハッシュプレフィックスにしたものをChromeが暗号化してプライバシーサーバーに送る。そこで個人を特定する可能性のあるデータが削除されてから、セーフブラウジングサーバーに、安全な接続を経由して送られる」
「Oblivious HTTP」使ってプライバシーを守る
■「Oblivious HTTP」使ってプライバシーを守る
「セーフブラウジングサーバーは、ハッシュプレフィックスを復号化して、サーバーサイドのデータベースと照合し、Chromeから送られてきたハッシュプレフィックスと一致する安全でないURLのフルハッシュを返します」とグーグルは説明する。もし安全でない一致が見つかれば、ユーザーに警告が表示される。どうしてこれでプライバシーが守られるのか? グーグルによると、同社はクラウドプラットフォームのFastlyと提携して、Chromeとセーフブラウジングサーバーの間でOblivious HTTP(OHTTP)を運用している。「OHTTPを使うことで、セーフブラウジング機能はユーザのIPアドレスを知ることがなく、あなたのセーフブラウジングのチェックは、他のChromeユーザーから送られたデータといっしょに行われます。つまり、セーフブラウジングは、送られてきたチェックデータとあなたがブラウズしたウェブとを関連づけることができません」
技術的な詳細については、グーグルのブログを参照してほしいが「あなたの身元とハッシュプレフィックスの両方をアクセスできる者が1人もいない」ことについては安心してよい。
最新バージョンのChromeは、この新機能を使うようにアップデートされる見込みだ。もしこのレベルの保護があなたにとって十分でないなら、Enhanced Protection(保護強化機能)を有効にすると、AIモデルを利用して攻撃をブロックし、保護を強化するために「deep file scan」を使用する。Enhanced Protectionは、悪質なChrome拡張機能に対する保護も提供する。
■グーグルはiPhoneユーザー向けのパスワード保護も強化
iOS版Chromeユーザーのセキュリティ改善の一環として、グーグルはパスワードチェックアップ機能のアップデートも発表した。パスワードチェックアップは、ユーザーの使っているパスワードが、過去に侵害されたことがあり、サイバー犯罪者やハッカーによって、ダークウェブのデータベースに掲載されている場合に警告を与えるものだ。そしてこのほどグーグルは、iOS版Chrome向けのこの機能に、脆弱なパスワードのアラートと再利用されたパスワードのアラートという2つの新機能を追加した。
