- Chromeによるサイトの警告には、大きく分けて2種類あります。
「安全でないサイト」と「危険なサイト」です。 - 「安全でないサイト」は、そのサイトとの通信が暗号化されていないので、途中のやり取りが傍受される危険性があることを注意喚起しています。
- 一方、「危険なサイト」は、そのサイト自体が「利用者を騙して情報を盗み取ろうとしている」と通報されていることを意味しています。
Chromeで説明していますが、ほかのブラウザでも基本的な考え方は同じです。
1. サイトにアクセスしようとしたら…
インターネット検索や電子メールなどのリンクを押すと、警告画面が出てくることがあります。
これはウェブサイトにアクセスする前に、ブラウザがその危険性を警告しているのです。
「セキュリティで保護されたページに戻る」を押せば、一つ前の画面に戻れます。
偽の警告画面に騙されないためにも、自分の使っているアプリの警告画面を知っておくことは大事です。
Chromeの警告には、大きく分けて2種類あります。
- 安全でないサイト
- 危険なサイト
画面の色使いでもわかるように、「危険なサイト」の方が注意が必要です。
「安全でないサイト」は、「This site is not secure」。
「危険なサイト」は、「This site has been reported as unsafe」。
微妙なニュアンスだけど、この違いにどんな意味があるの?
2. 安全でないサイト(HTTPS未対応)
「安全でないサイト」は、ウェブサイトそのものが危険というよりも、そこでのデータのやり取りの仕方を問題視しています。
近年はほとんどのウェブサイトで「HTTPS」という暗号化通信の方式が採用されています。
このHTTPSに未対応であったり、不備がある場合に「安全でないサイト」として警告しているのです。
2-1. その暗号化、必要?
ただし、基本的には、サイトで「パスワード、メッセージ、クレジットカードなどの情報」など 漏れて困る情報を送受信するのでなければ、暗号化通信は不要です。
サイトの情報が誰がアクセスしても同じ(公開されている)なら暗号化する必要はないため、古いウェブサイトではHTTPSに未対応の場合も多いです。
入力やログインが必要なページだけ HTTPSに対応するのが通例だったのです。
インターネット通信が遅かったころは、接続が速くするためには暗号化通信をしない方が有利でした。
2-2. 検索順位のために必要
しかし、2010年代後半から Googleなど検索エンジンが、HTTPS非対応のウェブサイトの検索順位を下げる傾向が出てきました。
すると、多くのウェブサイトが「過剰に」HTTPS対応を進めました。
とりあえず、すべてのページに HTTPS を適用するようになったのです。
SSL証明書には期限があるので、放置されたサイトは(良くも悪くも)検索結果から消えて行くことになります。
しかし、今でもメンテナンスされていないサイトにアクセスした場合に表示されることがあります。
![[LINEブラウザ] 「このサイトは安全でないため閉じてください」 【This Connection is Not Private】(emxdgt)](https://chiilabo.com/wp-content/uploads/2023/08/image-8-55-320x198.jpg)
3. 危険なサイト(セーフブラウジング)
一方、「危険なサイト」は、暗号化通信の問題ではありません。
「通報」によるものです。
Chromeには偽サイトの通報機能があります。
アクセスしようとしているサイトが、すでにほかの利用者から Googleに通報されていないか、「ブラックリスト」に該当する場合に警告します。
以前は、このような偽サイトの警告はセキュリティソフトの機能でした。
しかし、現在は ブラウザ自体が警告してくれます。
「最近はセキュリティソフトがあまり必要ない」という意見があるのは、同じような機能が標準アプリにも組み込まれるようになったからなんだね。
3-1. サイトの安全性をチェックしてもらう代償
この仕組みは、Chromeの「セーフ ブラウジング」を有効にすることで動作します。
ただし、「セーフ ブラウジング」には、自分がアクセスしたページを Google に送信している点は、一応 知っておく必要があります。
いわば、安全なのかどうか Googleに「お伺いを立てている」のです。
ただし、標準保護機能では、ページが Googleに送信されるのは
- 「ウェブ上のセキュリティ強化に協力する」に同意して、
- そのサイトで「パスワードが不正に取得された」か
- 「安全でないファイルがダウンロードされた」か
の場合に限られることになっています。
セーフ ブラウジングの標準保護機能:
Chrome に保存されている安全でないサイトのリストと URL を照合します。
サイトがパスワードを不正に取得しようとしている場合や、ユーザーが安全でないファイルをダウンロードしようとした場合は、URL とページ コンテンツの一部をセーフ ブラウジングに送信することがあります。
3-2. ハッシュ化したデータベース
とはいえ、Googleのセーフブラウジング機能は、直接 URLをやり取りする仕組みにはなっていないようです。
「ハッシュ値」にしてから照合する仕組みになっています。
ハッシュ値同士を比較することはできても、そこから元のURLを復元することはできません。
Googleのセーフブラウジング機能はどんどん洗練されていき、「アップデート版API」と呼ばれるようになってからは次の4つの手順を踏んでブラウザを保護するようになりました。
実はセーフでも何でもないという「セーフブラウジング機能」について専門家が解説 – GIGAZINE
- まずGoogleは危険なURLを集めてデータベース化し、SHA-256のアルゴリズムでハッシュ化します。その後、ハッシュを32ビットのプレフィックスに短縮してデータベースを圧縮します。
- Googleは短縮されたハッシュという形でデータベースをブラウザに送信します。
- ブラウザはURLにアクセスするたびにURLをハッシュ化し、Googleから送られてきたデータベースと照合します。
- もしURLとプレフィックスが一致した場合、ブラウザはGoogleのサーバーにプレフィックスを送信。これを受け取ったGoogleがデータベースと一致したURLを全て256ビットのハッシュの一覧として返送すると、ブラウザは問題のURLが既知の危険なURLと完全に一致しているかを確認し、一致した場合はアクセスを遮断します。
個人の利用範囲なら「セーフ ブラウジング」はメリットの方が大きいです。
ただ、企業の機密情報や共有リンクなどのように、外部には知られたくないURLもありますね。
一応 同意には基づいているけど、Googleの握っている情報ってすごいね…。
