ニュース

混合コンテンツはすべてデフォルトブロックへ ~「Google Chrome 79」から段階的に実施

サイト運営者はできるだけ早めの対応を

公式ブログ“Google Online Security Blog”

 米Googleは10月3日(現地時間)、“混合コンテンツ(Mixed Content)”のデフォルトブロックを「Google Chrome」で段階的に進めていく方針を明らかにした。

 “混合コンテンツ”とは、閲覧ページが安全なHTTPS接続で読み込まれているにもかかわらず、そのHTTPSページに含まれる他のリソース(画像、動画、スタイルシート、スクリプトなど)が暗号化されていない、安全ではないHTTP接続で読み込まれている状態、つまりHTTPSページにHTTPサブリソースが混在している状態をいう。この状態では閲覧ページの安全が完全に保証されているとはいいがたい。

 そのため、「Google Chrome」ではスクリプトや“iframe”など、とくに危険とみなされているリソースをブロックしてユーザーの安全を保護している。ブロックの通知はオムニバー左側の盾アイコンで行われ、ここからリソースのブロックを解除することが可能。ブロックを解除すると、オムニバー左端の鍵アイコンは“Not Secure”という警告アイコンに置き換わり、ユーザーに対し注意を促す。

オムニバー左側の盾アイコンで混合コンテンツのブロックを通知
ブロックを解除するとオムニバー左端に警告アイコントラベルを掲示

 しかし、画像や音声、動画といったリソースはHTTP接続から読み込まれたものであっても引き続き許可されていた。これはWebページの互換性を維持するための措置だが、たとえばHTTP配信されている株価チャートを改竄して投資家を欺いたり、混合コンテンツの読み込みに乗じて追跡Cookieを仕込んだりといった攻撃を許す余地がある。

 この状態を改善するため、「Google Chrome」ではすべての混合コンテンツがデフォルトでブロックされるようになる。混合コンテンツのデフォルトブロックは、以下の3つのステップに分けて段階的に実施される予定だ。

 まず「Google Chrome 79」では、混合コンテンツのブロックを解除するための新しいオプションが導入される。従来はオムニバー右側の盾アイコンで混合コンテンツのブロックが通知されていたが、「Google Chrome 79」ではサイト情報パネルの[サイト設定]メニューでブロックと解除をコントロールすることになる。この段階では、画像や音声、動画といったHTTPリソースはまだブロックされない。

サイト情報パネルの[サイト設定]メニューでブロックと解除をコントロールすることに

 次に「Google Chrome 80」では、音声や動画などのHTTPリソースを自動でHTTPS接続へアップグレードするようになる。HTTP接続で読み込むように指定されているリソースであっても、HTTPS接続でも利用できるのであれば、代わりにそれが読み込まれ、Webページは破損せずにこれまで通り表示される。もしHTTPS接続で読み込めないならば、コンテンツはブロックされ、サイト情報パネルからブロックを解除しない限り表示されなくなる。

 なお、画像リソースに関してはHTTP接続のものが混ざっていてもブロックされず、そのまま読み込まれる。ただし、その場合はオムニバーに“Not Secure”というラベルが表示される。この警告はかなり目立つため、HTTPS接続への移行と同様、サイト運営者に対応を強く促す効果があると期待できる。

 最終的には「Google Chrome 81」で、HTTPS接続による読み込みに失敗したコンテンツはすべてブロックされるようになる。画像コンテンツはHTTPS接続への自動アップグレードが行われる。

 ともあれ、サイト運営者はできるだけ早めの対応を行うべきだろう。同社はそのほかにも、TLS 1.0/TLS 1.1の廃止に備えて「Google Chrome」のUIに変更を加えることを発表している。

TLS 1.0/TLS 1.1サイトで表示される“Not Secure”表示