Google Chrome、安全でないHTTPサイトへの接続時に警告をデフォルトで表示へ
Googleは本日、Chromeウェブブラウザが2026年10月にリリースされるChrome 154以降、安全でないHTTP公開ウェブサイトへの接続時にデフォルトでユーザーに警告を表示すると発表しました。
「常に安全な接続を使用」機能の概要と目的
Google Chromeには2021年からオプトインの「HTTPS-Firstモード」があり、「常に安全な接続を使用」設定が追加され、HTTPS経由でのウェブサイト接続を試み、HTTPSが利用できない場合はバイパス可能な警告を表示していました。しかし、Googleはこのオプションをデフォルトで有効にすることで、ユーザーがHTTPS経由でのみウェブサイトにアクセスし、暗号化されていないHTTPプロトコルでインターネットサーバーと交換されるデータの盗聴や改ざんを試みる中間者攻撃(MITM攻撃)から常に保護されることを保証します。
Googleは、「1年後の2026年10月にChrome 154がリリースされると、Chromeのデフォルト設定が変更され、『常に安全な接続を使用』が有効になります。これは、HTTPSを使用しない公開サイトへの初回アクセス時に、Chromeがユーザーの許可を求めることを意味します」と述べています。
「リンクがHTTPSを使用しない場合、攻撃者はナビゲーションを乗っ取り、Chromeユーザーに任意の攻撃者制御のリソースを読み込ませ、マルウェア、標的型エクスプロイト、またはソーシャルエンジニアリング攻撃にユーザーをさらす可能性があります。」
ユーザー体験への影響と警告の頻度
Googleがさらに説明したように、「常に安全な接続を使用」設定のすべてのバリアント(プライベートまたは公開ウェブサイトを対象とする)において、ユーザーが安全でないサイトを定期的に訪問する限り、Chromeはそのサイトについて繰り返し警告することはありません。これは、50回のナビゲーションのうち1回警告するのではなく、新しい(またはめったに訪問しない)HTTPSを使用しないサイトを開いたときにのみ警告が表示されることを意味します。
さらに、ユーザーは公開サイトのみ、または公開サイトとプライベートサイト(企業イントラネットを含む)の両方に対して安全でない接続アラートを有効にするオプションがあります。プライベートサイトは依然としてリスクを伴いますが、攻撃者が悪用する機会が少なく、HTTPが悪用されるのはローカルネットワーク(自宅のWi-Fiなど)や企業環境内など、より限定された状況であるため、一般的に公開サイトよりも危険性が低いと考えられています。
しかし、両方の種類の警告がオンになっていても、ユーザーが通知に悩まされることはないはずです。なぜなら、現在、全ウェブサイトの約95〜99%がHTTPSを採用しており、2015年の約30〜45%という採用率から大幅に増加しているからです。
段階的な導入スケジュール
すべてのユーザーに対してデフォルトで有効にする前に、Chromeは2026年4月にChrome 147がリリースされる際に、強化されたセーフブラウジング保護を使用している10億人以上のユーザーに対して、公開サイトの「常に安全な接続を使用」を有効にする予定です。
ウェブ開発者・IT担当者への推奨事項
Googleは、「この移行がほとんどのユーザーにとって比較的苦痛のないものであることを期待していますが、ユーザーは『常に安全な接続を使用』設定を無効にすることで警告を無効にすることができます」と付け加えています。「ウェブサイト開発者またはITプロフェッショナルであり、この機能の影響を受ける可能性のあるユーザーがいる場合は、移行が必要なサイトを特定するために、今日から『常に安全な接続を使用』設定を有効にすることを強くお勧めします。」
これまでのセキュリティ強化の取り組み
2023年10月には、Google ChromeはHTTPSアップグレード機能を追加し、すべてのユーザーに対してページ内のHTTPリンクを自動的に安全な接続にアップグレードし、必要に応じてHTTPへの迅速なフォールバックを保証しました。今月初めには、Googleはウェブブラウザを再度更新し、最近訪問されていないサイトの通知許可を自動的に取り消し、アラートの過負荷を軽減しました。