Google、「Chrome」のセキュリティパッチを隔週から毎週配信に ～「Chrome 116」から

公式ブログ「Google Online Security Blog」におけるアナウンス

　米Googleは8月8日（現地時間）、「Google Chrome」のセキュリティ更新の間隔を短縮すると発表した。現在は2週間に1度の配信が原則だが、「Chrome 116」からは毎週実施するとしている。

　「Chrome」のベースとなっている「Chromium」はオープンソースプロジェクトで、誰でもソースコードを閲覧し、改善や修正があればそれを提案できる。しかし、新機能に問題があったり、修正が予期せぬ副作用を引き起こしたりすることもあるため、複数の開発チャネル（Canary、Dev、Beta）を設けてテストを実施し、安定性や互換性、パフォーマンスの問題を解決してから一般のユーザーに安定（Stable）版を届ける仕組みが整えられている。

　しかし、他の開発者が行った変更をすべて見ることができることにはデメリットもある。なかでも懸念されるのが、開発チャネルで「Chromium」や「Chrome」のセキュリティ修正を監視して情報を入手し、修正が一般ユーザーへ提供される前にエクスプロイト（攻撃コード）を開発する攻撃者の存在だ。

　こうした既知の脆弱性に対する攻撃は、「Nデイ」（ゼロデイなど）と呼ばれる。「Nデイ」攻撃を抑止するには、最初にセキュリティ修正が行われてから実際にパッチが一般ユーザーへ提供されるまでの時間、つまり「パッチギャップ」（patch gap）をできるだけ小さくする必要がある。

　Googleはこの「パッチギャップ」を減らすため、「Chrome 77」から2週間ごとに安定チャネルをアップデートするようになった。それ以前のパッチギャップは平均35日だったが、隔週リリースに移行して以来、パッチギャップは約15日に短縮されている。これを毎週のリリースとすれば、平均して3.5日早くセキュリティフィックスをリリースできるようになるという。

　また、セキュリティパッチを週に1回リリースすることで、パッチに含めそこなったセキュリティ修正が次に持ち越されてしまうことが減る。緊急を要するときに実施される定例外（Unplanned）のアップデートも削減できると期待されている。

　なお、これにより「Chrome」の更新方法が変わったり、メジャーバージョンアップの頻度が変更されることはないとのこと。同社は、「Chrome」の更新の通知が表示されたらすぐに適用するよう呼び掛けている。アップデート通知を改善するため、安定版ユーザーの1％に新しい通知を実験的にロールアウトする施策も行っているとのこと。

新しいアップデート通知

　アップデートの適用には「Chrome」の再起動が必要だが、タブの状態を保存して次回起動時に復元する機能が備わっているので支障はない。ただし、「Incognito」モード（シークレット ウィンドウ）の場合は閲覧状態が保存されないので注意。