最新のブラウザは、ウェブページを表示するだけではありません。優れたブラウザは、悪質なサイトからユーザーを保護します。Chromeではこの機能を「セーフブラウジング」と呼んでおり、そのデフォルトバージョンが強化されました。
Googleのブログ投稿で発表された木曜日のアップグレード以前、Chromeはリンクを既知の悪質サイトのリストと自動的に照合していました。このリストはデバイスに保存され、30~60分ごとに更新されていました。Firefoxなどの競合ブラウザと同様に、Chromeセーフブラウジングのこの標準モードでは、ユーザートラフィックは匿名のままでしたが、リストが常に更新されないため、怪しいウェブページにアクセスする余地がありました。リアルタイム防御のために、Chromeユーザーはセーフブラウジングの強化された保護機能にオプトインする必要がありました。これにより、AIを活用した悪質なリンクやページの識別機能も利用可能になりました。その代償として、Googleはダウンロードを含むユーザーの閲覧習慣を直接把握できるようになりました。
Google が作成したこの図は、Chrome セーフ ブラウジングの標準保護モードが以前どのように動作していたかを示しています。
グーグル
Chromeセーフブラウジングの最新アップデートにより、標準の保護機能でリアルタイムリストもチェックできるようになりました。検証時にURLは暗号化されるため、プライバシーは損なわれません。ウェブページにアクセスしようとすると、ブラウザはまずローカルに保存されている安全なウェブサイトのデータベースを確認します。URLが見つからない場合は、リアルタイムチェックが実行されます。ユーザーのプライバシーを保護しながらこの処理を行うため、ウェブアドレスはまず暗号化され、その後、生成されたハッシュの特定の部分のみが中間サーバーに渡されます。Googleはこれを「プライバシーサーバー」と呼んでいます。
このプライバシーサーバーは、Fastlyというサードパーティ企業によって運営されており、IPアドレスなどの潜在的な識別子などの詳細情報を削除した上で、部分的なハッシュをセーフブラウジングサーバーに送信します。これらのデータリクエストは複数のChromeユーザー間でプールされ、さらに匿名化されます。
セーフブラウジングサーバーはデータを復号化し、リクエストに一致する可能性のあるURLハッシュ全体を検索し、その結果をプライバシーサーバー経由でChromeに送信します。ChromeはURLハッシュ全体をその情報と照合し、一致するものがあれば警告を表示します。
Google が作成したこの図は、Chrome セーフ ブラウジングの標準保護モードが現在どのように機能するかを概説しています。
グーグル
これは休暇の行き先を選ぶのに似ています。「ゴーストタウンフォールズ」という場所に行きたいと思い、運転手にその場所を伝えます。運転手はその場所を安全地域のリストと照合し、一致するものがなければ、ディスパッチに連絡して危険地域リストに「gh」という文字が含まれる場所が含まれているかどうかを確認します。ディスパッチは一致する場所があればそれを送信し、「ゴーストタウンフォールズ」がその情報に含まれている場合、運転手は別の場所に行くことを勧めます。
ハッシュとハッシュプレフィックスはここでの例よりも複雑なため、セーフブラウジングサーバーは部分的なハッシュがどのURLを表しているかを推測できないはずです。技術的な詳細については、Googleセキュリティブログで新しい標準セーフブラウジング保護の仕組みについて解説していますので、ぜひご覧ください。
Googleは同じ投稿で、悪意のある攻撃のペースが加速しているため、リアルタイムのチェックが必要だと説明しています。危険なウェブサイトのほとんどは、一度に10分未満しかオンラインになっていないとのことです。危険なサイトのリストが30分から60分ごとにしか更新されない場合、ハッカーは被害を与えるのに十分な時間を持つことになります。
Chrome セーフブラウジングの拡張版に登録しているユーザーは、引き続き追加の保護機能を利用できます。標準セーフブラウジングでは、安全でないことが確認されているウェブサイトのみをブロックします。拡張セーフブラウジングでは、AI(この場合は機械学習)による分析に基づいて、信頼できないと疑われるページもブロックします。また、ファイルと Chrome 拡張機能もスキャンします。拡張保護機能は、これまでと同様に、Chrome の設定([プライバシーとセキュリティ] > [セキュリティ])でオプトインできます。
このアップグレードにより、Chrome は競合製品のレベルを引き上げましたが、改善されたウェブブラウザを使用することはオンラインセキュリティの一部に過ぎません。今日では、多層的な保護を設定することが賢明な方法です。ウイルス対策ソフトウェアは、悪質なウェブサイトやフィッシング詐欺ウェブサイトも検出します。万が一、何かがすり抜けても、優れたスイートがそれを素早く検出します。(これには Windows に組み込まれている保護も含まれますが、ランサムウェア保護などの機能をオンにする必要があります)。2 要素認証により、パスワードが盗まれたり推測されたりした場合でも、アカウントはロックされます。パスワード マネージャーを使用すると、ランダムで一意のパスワードを使用して、他人がパスワードを解読するのを防ぎます (または、パスワードを解読してウェブ上で試行し始めてログインに成功するのを防ぎます)。そしてもちろん、PC とそのファイルのバックアップがあれば、最初からやり直さなければならない場合でも、システムを素早く復元できます。
インターネット初期に比べると手間はかかりますが、残念ながら今では必要な対策となっています。セキュリティ専門家によると、攻撃や悪意のある行為のスピードは今後も加速し続けるため、備えはしておくべきです。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
