プライバシー擁護団体の要請を受けて、グーグルは火曜日、Gmailサービスのより安全なバージョンをテストし、それが実行可能かどうかを調査する予定であると発表した。
Googleは、バックエンドサーバーの変更を計画しており、一部のユーザーがGmailを使用する際に、自動的に暗号化されたHTTPS(Hypertext Transfer Protocol Secure)接続を使用するようになります。現在、すべてのユーザーがGmailへのログインにHTTPSを使用していますが、変更後はWebページが暗号化されずに送信されます。
プライバシー専門家によると、これは好ましくない事態だ。なぜなら、例えばWi-Fiのあるカフェなど、ネットワークにアクセスできるハッカーがセッションハイジャックと呼ばれる手法を使ってGoogleアカウントを乗っ取る可能性があるからだ。また、機密情報が含まれることが多いメールも盗聴される可能性がある。
「誰かの個人情報を盗もうと思ったら、受信トレイがその場所です」と、グーグルに変更を求めた専門家の一人、クリストファー・ソゴイアン氏は語った。
ハーバード大学バークマン・インターネットと社会センターの学生フェローであるソゴイアン氏は、火曜日にグーグルにHTTPSの採用を呼びかけた38人のセキュリティおよびプライバシー専門家の1人だった。
HTTPS は電子メールを暗号化して読みにくくするだけでなく、サーバーの認証方法も提供するため、ユーザーはフィッシング サイトではなく本当に Google と通信していることをより確信できるようになります。
Gmailユーザーは既にHTTPS経由でメッセージを読むことができますが、そのためには設定ページの下部にある「ブラウザ接続」ボックスをクリックする必要があります。テストでは、HTTPSがデフォルトで有効になります。HTTPSは、Webページの一部または全体を安全に接続するために使用できます。
GoogleドキュメントとカレンダーのユーザーもHTTPS経由で接続できますが、これを永続的に使用する設定はありません。ユーザーはこれらのサービスに接続するたびに「https://」と入力する必要があります。
昨年、Google は、Web サイトの速度が遅くなりすぎるため、デフォルトでは HTTPS を使用しないと発表した。
ソゴイアン氏は過去数週間にわたるプライバシー関連イベントで、Google に SSL (Secure Sockets Layer) を採用するよう圧力をかけるべきだという考えを提起しており、Google の反応は迅速だった。
「様々なタイプのGmailユーザーを少数サンプルとしてHTTPSに移行し、彼らの体験がどのようなものか、そしてメールのパフォーマンスにどのような影響があるかを確認します」と、Googleのソフトウェアエンジニアであるアルマ・ウィッテン氏は火曜日のブログ投稿で述べています。「読み込み速度は十分でしょうか?レスポンスは十分でしょうか?HTTPSで特にパフォーマンスが悪い地域やネットワーク、あるいはコンピュータの設定はあるでしょうか?」
このテストが成功すれば、Google は「できればすべての Gmail ユーザーに対して、より広範囲に HTTPS をデフォルトで有効にする」とウィッテン氏は述べた。
グーグルはテストをいつ開始するかは明らかにしなかったが、同社はユーザーにHTTPS接続を提供していないライバルのヤフーやマイクロソフトよりも先を行っているとホワイトハット・セキュリティーの最高技術責任者ジェレミア・グロスマン氏は語った。
暗号化されたメッセージにはより多くの情報が含まれるため、HTTPS では Web サーフィンの速度が低下する可能性があり、パフォーマンスが悪すぎて一部のユーザーがサービスを中止するほどだと Google が判断した場合、大きな問題になるだろうと同氏は述べた。
一方、HTTPSのパフォーマンスは、サーバー上のアクセラレータと呼ばれる特殊なチップを使用することで高速化できます。ただし、これには費用がかかります。
「無料の常時接続HTTPSは、メール業界では、特に無料メールサービスではかなり珍しいことです」とウィッテン氏は書いている。「しかし、私たちはこれをウェブをより安全で便利にするもう一つの方法だと考えています。すべての主要なウェブメールサービスに提供してほしいと思っています。」
Gmail、Googleマップ、Google検索:19のクールなヒントもご覧ください
