ブラウザーが用心深く警告を発することが増えたとしても、怖がる必要はない。少なくともいまのところは。

グーグルのウェブブラウザー「Google Chrome」でウェブサイトにアクセスしたときに、アドレス欄に緑色の小さな鍵アイコンと「保護された通信」という言葉が表示されるのを目にしたことがあるだろうか。このアイコンは、通信を暗号化しない旧式のHTTPプロトコルではなく、暗号化を行うHTTPSプロトコルが使われていることを示している。

逆にアドレス欄に、「保護されていない通信」という言葉が表示されることがたまにある。この警告が表示されるのはたいてい、HTTPSで情報を保護していないサイトにおいて、パスワードやクレジットカード番号の入力画面が表示されたときだ。グーグルは2017年10月から、この「保護されていない通信」という警告の表示回数を増やす予定だという。

旧式のHTTPを使用したサイトにアクセスすると、通常は円の中に「i」の文字が入ったアイコンが表示される（このアイコンをクリックすると、「このサイトへの接続は保護されていません」という警告が表示される）。グーグルは8月17日（米国時間）、「Google Search Console」ツールを利用するサイトオーナーに対し、次期ヴァージョンのChromeからはHTTP接続のページでユーザーに情報の入力を求めた場合、その情報がパスワードやクレジットカード情報でなくても警告を表示すると注意を促した。つまり、ユーザーが暗号化されたHTTPS接続ではないサイトで検索語を入力したり、暗号化されていないページでメルマガ購読フォームにメールアドレスを入力したりすると、「保護されていない通信」の警告が表示されるようになるのだ。

Chromeのシークレットモードを利用している場合は、たとえ入力フォームやフィールドがなくても、HTTPSを使っていないウェブサイトにアクセスするだけで警告が表示されるようになる。しかも、これは始まりに過ぎない。

「最終的には、すべてのHTTPページに対して『保護されていない通信』の警告を表示する予定です」と、Chromeのセキュリティーチームに所属するエミリー・シェクターはブログの投稿で述べている。

ネット通販サイトの懸念

この傾向は、概ねよいことだと言える。より多くのウェブサイトに対してHTTPSの採用を促すことになるからだ。HTTPSは完璧なプロトコルではないが、プライヴァシーを保護するのに役立つ。また、ユーザーが表示しているウェブページが、ひそかにマルウェアをダウンロードするような偽装ページではなく、本物のページであることを保証できるようになる。Chromeは最も人気の高いブラウザーであるため、グーグルの取り組みは広まっていくだろう。

だが、モバイル技術のコンサルティング企業Pure Oxygen Labsのブライアン・クライスCEOは、新しい警告機能がホリデーショッピング・シーズンの直前に実装されることを懸念している。パスワードやクレジットカード番号の入力ページは暗号化していても、サイト全体でHTTPSを実装しているわけではない正規のネット通販サイトを、ユーザーが避けるようになるかもしれないからだ。

例えば、ホームセンター大手のザ・ホーム・デポ、デパートのノードストロームやシアーズ、アパレル大手のギャップなどは、どこもウェブサイトの製品検索ページにHTTPSを使用していない。ホーム・デポの広報担当者は、「当社では決済情報やログイン情報が保護されていることをお客様に知っていただけるよう準備を進めています」と述べたが、ほかの小売業者からはコメントを得られなかった。グーグルの広報担当者も、以前のブログ記事を見てほしいと述べるだけで、詳しいコメントは得られなかった。

オンラインで送信されるクレジットカード情報とパスワードを保護する取り組みは、以前から普及している。だが最近では、すべてのウェブトラフィックを暗号化する動きが見られるようになった。Googleの検索ページ、Facebook、Wikipediaでは、すべてのページが最初からHTTPSを使用している。だが、『WIRED』US版が以前に報告したように、HTTPからHTTPSへの移行は、技術的にやっかいな問題を招く可能性がある。

サイトがHTTPS化されていない企業は4割

Pure Oxygen Labsの調査によれば、大手オンライン小売企業100社のうち、HTTPSをまだ使っていない企業の割合は約4割に上る。この割合は、Mozillaの推測と一致する。ウェブブラウザー「Firefox」の開発元であるMozillaは、ウェブトラフィックの約4割が暗号化されていないと報告していた。

Firefoxでは、HTTPSで通信を暗号化していないサイトがパスワードやクレジットカード情報の入力を求めた場合、鍵に赤い斜線の入ったアイコンが現れるものの、「保護されていない通信」といった言葉は表示されない。アップルの「Safari」とマイクロソフトの「Edge」では、HTTPサイトにアクセスしても特別な警告は表示されないし、緑色の鍵アイコンが出てくることもない。

問題は、Chromeで今回実施されるわずかな変更に気づくユーザーが、どれくらいいるのかということだ。「この変更がどれほどの影響をもたらすのかを測定することは、実際のところ困難です。しかし、ひとりでも気づく人がいれば、サイト運営者に責任をもってコンテンツを保護してもらうきっかけになります」と、セキュリティー研究者のトロイ・ハントは言う。

そんなわけで、これから数カ月はセキュリティーの警告に注意してみよう。ただし、警告が出たからといって、パスワードやクレジットカード情報が安全でない環境で送信されているというわけではない。