9月、 Google Chromeセキュリティチームのメンバーは、ある大胆な提案を発表しました。それは、私たちが知っているURLを廃止するというものです。研究者たちは、ウェブの基盤インフラの変更を提唱しているわけではありません。しかし、彼らはブラウザが閲覧中のウェブサイトを伝える方法を見直し、ますます長くなり、理解しにくくなるURL、そしてそれらにまつわる詐欺に悩まされることなく、ウェブサイトを安全に管理できるようにしたいと考えています。火曜日にベイエリアで開催されたセキュリティカンファレンス「Enigma」での講演で、Chromeのセキュリティ責任者であるエミリー・スターク氏がこの論争に加わり、ウェブサイトのアイデンティティをより強固なものにするためのGoogleの最初のステップを詳しく説明しました。
スターク氏は、GoogleがURLを廃止することで混乱を招こうとしているわけではないと強調する。むしろ、ウェブサイトの正体に関するユーザーの混乱をハッカーが悪用することを困難にしたいのだ。現在、複雑なURLの果てしない混乱は、攻撃者に効果的な詐欺の隠れ蓑を与えている。正規のサイトにつながるように見せかけて、実際にはフィッシングページに自動的にリダイレクトする悪質なリンクを作成することもできる。あるいは、本物のURLに似たURLを持つ悪質なページを作成し、被害者がGoogleではなくGoogleにアクセスしていることに気づかないようにすることも考えられる。対策すべきURLの不正行為がこれほど多く存在する中、Chromeチームは既に、ユーザーに明確な情報を提供することを目的とした2つのプロジェクトに取り組んでいる。
「私たちが本当に議論しているのは、サイトのアイデンティティの提示方法を変えることです」とスターク氏はWIREDに語った。「ユーザーは自分がどのサイトにいるのかを簡単に認識でき、別のサイトにいると勘違いするようなことがあってはならない。インターネットの仕組みに関する高度な知識がなくても、それを理解できるはずがないのです。」
Chromeチームのこれまでの取り組みは、標準的な方法から何らかの点で逸脱していると思われるURLを検出する方法を見つけることに重点を置いています。その基盤となるのは、Stark氏のカンファレンス講演に合わせてリリースされたTrickURIと呼ばれるオープンソースツールです。このツールは、開発者が自社のソフトウェアがURLを正確かつ一貫して表示しているかどうかを確認するのに役立ちます。開発者がテスト対象を提供することで、様々な状況下でURLがユーザーにどのように表示されるかを把握できるようにすることが目標です。TrickURIとは別に、Stark氏と彼女の同僚は、フィッシングの可能性があるURLをChromeユーザーに警告する機能の開発にも取り組んでいます。この警告機能はまだ社内テスト段階です。なぜなら、正規のサイトを無視することなく、悪意のあるサイトを適切にフラグ付けするヒューリスティックを開発することが難しいからです。*
Googleユーザーにとって、フィッシングやその他のオンライン詐欺に対する第一の防御線は、依然として同社のセーフブラウジングプラットフォームです。しかし、Chromeチームは、特に疑わしいURLの検出に重点を置いた、セーフブラウジングを補完する機能を検討しています。
グーグル
「誤解を招くURLを検出するためのヒューリスティックスでは、互いに似ている文字と、わずかな文字数だけ異なるドメインを比較します」とスターク氏は述べています。「私たちの目標は、攻撃者を極めて誤解を招くURLから遠ざけるヒューリスティックスを開発することです。重要な課題は、正当なドメインを疑わしいURLとしてフラグ付けしないようにすることです。そのため、この警告を実験的に徐々に導入しています。」
Googleは、Chromeチームが検出機能の改良を進めている間、一般ユーザーへの警告の展開はまだ開始していないと述べています。URLがすぐになくなることはないかもしれませんが、スターク氏は、ユーザーがURLの重要な部分に注目し、Chromeでの表示方法を改善するための取り組みがさらに進んでいることを強調しています。大きな課題は、セキュリティやオンラインでの意思決定に関係するURLの部分を表示しつつ、URLを読みにくくする余分な要素を何らかの方法でフィルタリングすることです。ブラウザは、短縮または切り捨てられたURLを拡張することで、逆の問題を抱えるユーザーを支援する必要がある場合もあります。
「URLは特定の人々や特定のユースケースでは非常にうまく機能しており、多くの人がそれを愛用しているため、この分野全体が非常に困難になっています」とスターク氏は語る。「私たちは、新しいオープンソースのURL表示ツールTrickURIと、紛らわしいURLに関する新しい試験的な警告機能の進歩に興奮しています。」
Chrome セキュリティ チームはこれまでもインターネット全体のセキュリティ問題に取り組んでおり、Chrome でそれらの問題に対する修正プログラムを開発した後、Google の影響力を発揮して、すべての人にこの手法を採用するよう促してきました。この戦略は、過去 5 年間で特に成功を収め、HTTPS ウェブ暗号化の普遍的な採用に向けた動きを刺激してきました。しかし、このアプローチを批判する人々は、Chrome の力と遍在性による欠点を懸念しています。これまで前向きな変化のために使われてきた影響力が、誤った方向に向けられたり、悪用されたりする可能性があるのです。また、URL のような基本的な要素に関しては、Chrome チームが、Chrome にとっては有益であっても、ウェブの他の部分には実際には役立たないウェブサイト ID 表示戦術を採用するのではないかと批判する人もいます。Chrome のプライバシーとセキュリティに対する姿勢に対する一見些細な変更でさえ、ウェブ コミュニティに大きな影響を与える可能性があります。
さらに、その普及率の高さは、リスクを嫌う企業顧客への負担にもつながっています。「現状のURLでは、ユーザーがすぐに判断できるリスクレベルを伝えることができない場合が多い」と、責任ある脆弱性開示企業Luta Securityの創設者、ケイティ・ムスリス氏は述べています。「しかし、Chromeが一般消費者ではなく企業で導入が進むにつれて、目に見えるインターフェースや基盤となるセキュリティアーキテクチャを根本的に変更する能力は、顧客からの圧力によって低下していくでしょう。高い人気は、ユーザーの安全を守るという大きな責任だけでなく、機能、使いやすさ、下位互換性における変化を最小限に抑えるという責任も伴います。」
すべてが非常に混乱を招き、イライラさせる作業のように聞こえるなら、まさにそれが問題なのです。次の疑問は、Chromeチームの新しいアイデアが実際にどのように機能するか、そしてそれが本当にウェブ上での安全性を高めることになるのかどうかです。
* 1月29日午後10時30分訂正:当初この記事では、TrickURIは機械学習を用いてURLサンプルを解析し、疑わしいURLの警告をテストすると記載していました。しかし、このツールはソフトウェアがURLを正確かつ一貫して表示しているかどうかを評価しているという記述に修正しました。
WIREDのその他の素晴らしい記事
- ケンブリッジ・アナリティカのデータを求める男の壮大な探求
- Facebookがすべてのチャットアプリを統合する際の落とし穴
- 政府閉鎖を終わらせても航空便の遅延は解消されない
- ネズミの侵入に対抗するためドローンが毒爆弾を投下
- 携帯電話は退屈になったのか? これから奇妙になる
- 👀 最新のガジェットをお探しですか?おすすめ商品、ギフトガイド、お得なセールなど、一年を通してチェックしてみてください
- 📩 毎週配信されるBackchannelニュースレターで、さらに多くの内部情報を入手しましょう
