2019年12月11日 16時00分 ソフトウェア

GoogleがChrome 79で強化された「パスワード保護機能」の仕組みを解説



2019年12月11日、ウェブブラウザ「Google Chrome」のバージョン79.0.3945.79がリリースされました。Googleは「バージョン79で、パスワード保護機能を段階的に強化していく」と発表し、パスワード保護機能の仕組みについて解説を行っています。



Better password protections in Chrome

https://www.blog.google/products/chrome/better-password-protections/



Google Online Security Blog: Better password protections in Chrome - How it works

https://security.googleblog.com/2019/12/better-password-protections-in-chrome.html



Chrome 79で強化されたというパスワード保護機能は、2019年2月に公式拡張機能としてリリースされていた「Password Checkup」と同様のもの。従来はPassword Checkupのダウンロード＆インストールが必要でしたが、Chrome 79ではデフォルトでPassword Checkupの機能が組み込まれています。



Googleがインターネット上で使用するパスワードがデータ侵害にあった危険なものでないかを逐一チェックしてくれる「Password Checkup」をリリース - GIGAZINE





Googleは「強化版パスワード保護機能の仕組み」について、以下の4ステップに分かれていると解説しています。



1：

別の会社から流出したユーザー名とパスワードを収集して、「ユーザー名＆パスワードを暗号化したデータ」と「ユーザー名＆パスワードから生成されるハッシュ」をGoogleのデータベース上に保存します。この暗号化を解く鍵は、Googleのみが保有します。





2：

ChromeでGoogleアカウントにログインすると、ユーザー名＆パスワードを暗号化し、ハッシュ化した上で、「どのアカウントから送られたデータなのか」を隠してGoogleに送信します。





3：

「(PDFファイル)Private set intersection with blinding」という手法を用いて、送信元の情報を伏せたまま、流出したデータとChromeから送られてきた暗号化データを比較します。





4：

流出したデータに自分のユーザー名＆パスワードが含まれているかどうかの最終チェックをローカルで行います。チェックの結果、ユーザー名＆パスワードが流出していると判明した場合は、Chromeに「パスワードを変更してください」という通知が表示されます。





この強化版パスワード保護機能は、Chromeの設定の「同期とGoogleサービス」から設定できるセーフブラウジング機能の一環として、漸進的に実装される予定です。



また、Googleはアカウントの同期を有効にしていない場合でもChromeのパスワードを保護する「リアルタイムフィッシング保護」という機能も発表しました。これまでのChromeに実装されていたセーフブラウジング機能は、Googleとセキュリティ企業が連携して作成しているマルウェアなどの危険のあるURLの「ブラックリスト」を30分ごとにダウンロードし、そのブラックリストと入力されたURLを比較するというものでした。





しかし、ローカル側のブラックリストの更新は30分ごとであるため、ドメインを素早く切り替えるなどの手法を使って、一部のフィッシングサイトがローカル側のブラックリストをすり抜けていました。



「リアルタイムフィッシング保護」は、Chromeに入力されたURLを、自分のChromeに保存されている著名なウェブサイトなどの「すでに安全だとわかっているURL」のリストと比較します。アクセスしようとしているURLがリストにない場合、ChromeはGoogleとブラックリストの照合を行って、そのURLの安全性を評価します。Googleは、「『リアルタイムフィッシング保護』によって、悪意のあるサイトからユーザーを保護する確率が30％上昇する」と分析しています。リアルタイムフィッシング保護は、Chromeの設定の「同期とGoogleサービス」にある「検索とブラウジングを改善する」をオンにしていると有効化され、最終的には全ユーザーに適用されるとのこと。





さらに、Chrome 79にログインしている場合、「予測フィッシング保護」という機能も有効化されるようになりました。Chromeに保存されているパスワードを「すでに安全だとわかっているURL」以外のサイトに入力した場合、ChromeはGoogleとURLの照合を行って、悪意があるサイトなのかの確認を行います。確認の結果、非常に疑わしいか悪意のあるサイトであると判断された場合、Chromeはパスワードの変更を促す警告を直ちに表示するとのことです。



Googleは「予測フィッシング保護によって、さらに数億人分のデータを保護できるようになる」と述べています。

