iStock / iam-Citrus
Google のウェブ ブラウザの最新バージョンである Chrome 68 は、ウェブの基本的かつ最も重要な問題の 1 つである暗号化に取り組んでいます。
7月24日にリリースされたChromeの最新バージョンは、デフォルトでHypertext Transfer Protocol Secure(HTTPS)を使用していないウェブサイトに対して明確な対策を講じています。バージョン68以降、ChromeはHTTPSを使用していないすべてのウェブサイトを安全でないとマークします。世界最大級のウェブサイトの多くはこのセキュリティ標準を使用しておらず、英国の大手小売業者、大学、企業は依然として安全でないウェブサイトを運営しています。
「これは、私たちのセキュリティに関するデフォルトの基準における非常に重要な変更です」と、セキュリティ研究者のスコット・ヘルム氏は説明する。「私たちは、それが安全であることを期待し、そうでない場合はユーザーに伝えます。」Googleのユーザーに表示される情報は劇的な変化ではありませんが、ウェブサイトがHTTPSを使用していない場合は、検索バーのURLの横に「安全ではありません」というメッセージが表示されます。
HTTPSは、性能の劣るハイパーテキスト転送プロトコル(HTTP)とは異なり、デバイスからアクセス中のウェブサイトに送信される情報が暗号化され、第三者による傍受が困難であることを意味します。このウェブセキュリティ機能は緑色の南京錠で表示され、その基盤となるシステム(SSLとTLS)は1994年にNetscape Navigatorウェブブラウザに搭載されて以来、存在しています。
HTTPSには多くのメリットがあります。HTTPよりも高速で、GoogleがウェブサイトのSEOスコアを決定する際に使用され、中国の「Great Cannon」のようなマルウェアがウェブサイトのコードに挿入されるのを防ぐことができます。
Chromeブラウザで60%の市場シェアを誇るGoogleは、HTTPSを使用していないすべてのウェブサイトを安全でないと警告する制度を導入した最初の大手企業です。「ここ数年、私たちはウェブサイトがHTTPS暗号化を採用することを強く推奨することで、より安全なウェブを目指してきました」と、Chromeのセキュリティ製品マネージャーであるエミリー・シェクター氏は2月に述べています。
Chromeは2017年10月から一部のウェブサイトで「保護されていません」というメッセージの表示を開始し、ここ数ヶ月で徐々にその範囲を拡大してきました。「Chromeの新しいインターフェースは、すべてのHTTPサイトが安全ではないことをユーザーに理解させ、デフォルトで安全なHTTPSウェブへの移行を促進します」とシェクター氏は記しています。Chromeは、開発者に対し、ウェブサイトがHTTPSを使用するよう徐々に促しています。
HTTPSの基礎は20年以上前から存在しているため、ほとんどのウェブサイトがこの安全な標準規格を使用していると考えるのは無理もありません。しかし、実際はそうではありません。近年、Let's Encryptなどの取り組みもあってHTTPSを使用するウェブサイトの数は増加傾向にありますが、まだ道のりは長いです。
ヘルム氏とセキュリティ研究者のトロイ・ハント氏は、「Why No HTTPS(なぜHTTPSがないのか)」というウェブサイトを立ち上げ、世界最大級のウェブサイトのうちHTTPS技術を使用していないウェブサイトを明らかにしました。ヘルム氏はウェブサイトランキングサービスAlexaからデータをクロールし、ハント氏はウェブサイトを国別に分析しました。
「これらは、アクセスしてもHTTPSへのリダイレクトを強制しないウェブ上の上位100ウェブサイトです」とヘルム氏は言う。ヘルム氏はトラフィック量に基づいて上位100万ウェブサイトを定期的に調査しており、その約半数がHTTPSを使用していないと述べている。同様に、セキュリティ企業Cloudflareは、ウェブ上の上位100万ウェブサイトのうち54万2000ウェブサイトがHTTPSバージョンにリダイレクトしておらず、Googleによって安全でないと判断される可能性があると述べている。
では、HTTPSの悪質リストのトップは誰でしょうか?中国のテクノロジー企業であり検索エンジンでもある百度のウェブサイトです。百度はGoogle、YouTube、Facebookに次ぐ世界第4位のウェブサイトです。トップ100には、bbc.com、dailymail.co.uk、foxnews.com、ladbible.com、cambridge.org(ケンブリッジ大学)、go.comも入っています。
ヘルメ氏は、このウェブサイトは「問題の大きさと、まだどれだけの努力が必要なのか」を示すために作られたと述べ、大きな進歩があったと述べている。英国で最も安全でないウェブサイトには、政府の立法ドメイン、ニュールック、トップショップ、スカイスポーツ、ヴァージンメディア、ジャストイート、そして複数の大学などが含まれている。
百度に加え、「なぜHTTPSを使わないのか」という国際的なリストの上位にランクインしている他のウェブサイトもすべて中国のウェブサイトです。qq.com、sohu.com、jd.com、sina.com.cnなどがリストに含まれています。しかし、すべてが見た目通りではありません。「デフォルトでHTTPSを使用していない上位のウェブサイトの中で、中国は明らかに過剰に存在しています」とハント氏はブログ記事で説明しています。「問題は、qq.com以外の5つのウェブサイトも実際には有効な証明書を持っているということです。ただ、安全でないトラフィックをリダイレクトしていないだけです。」
この記事はWIRED UKで最初に公開されました。
