ライフハッカー［日本版］

ライフハッカー編集部さんへ

Google Chromeのセキュリティアイコンがよくわかりません。Gmailのように安全なはずのサイトでも、「そのページは安全ではありません」と警告してきます。これはどういうことでしょうか？

P.N. Sensitive to Security より

Sensitive to Securityさん、こんにちは。

この手のご質問は、何度か聞いたことがありますよ。多くの場合、あまり心配する必要はありません。Chromeのセキュリティインジケーターについては、Chromeの公式ウェブサイトで詳しく説明されているので、そちらをご参照いただいてもいいのですが、Google ChromeチームのシニアプロダクトマネジャーIan Fette氏からのお話をもとに、なぜこんなことが起こるのか？ なぜ心配する必要がないのか？ わかりやすくご紹介しましょう。

■Chromeのセキュリティインジケーターとは？

Chromeのアドレスバーでは、ウェブサイトのURLの隣でアイコンがいくつか表示されます。これらは、閲覧中のウェブサイトが安全であるかどうか？ を示すものです。

HTTPSを使ったウェブサイトを閲覧すると、錠型のアイコンが表示され、さらに、EVインジケーターが現れる場合と、現れない場合があります。たとえば、左画像のようにバンク・オブ・アメリカのウェブサイトでは、グリーンのバーが表示され、そのウェブサイトがEV証明書を持っていることがわかります。

EVは、ウェブサイトの素性を知る上で最も便利なものですが、すべてのウェブサイトが持っているわけではありません。銀行や『LastPass』といったパスワードマネジメントツールのように、お金やセキュリティを扱うウェブサイトを除き、ほとんどのウェブサイトにはないのが現状です。ウェブサイトにEVがない場合、HTTPS接続を使ってサイトに接続することを意味する「ロック」か、暗号化されていないHTTP接続での閲覧を意味する「グローブ」で、セキュリティ度を判断しましょう。

「グローブ」のアイコンがアドレスバーに表示されたら要注意。アナタがそのページで閲覧しているものは何でも、同じ公共ネットワークにいる他のユーザも見られます。また、公衆Wi-Fiを共有している人が、クッキー認証を破り、自分に「なりすます」可能性もあり（このテーマについては、「Firesheep」に関する米LH記事でも採り上げています）。

グリーン色の「ロック」アイコンは、セキュリティ面で理想です。これが表示されていれば、安全なHTTPSのウェブサイトであり、そのページのすべてのものは、HTTPS接続で供給されていることがわかります。公衆Wi-Fiで閲覧していても、他のユーザが自分のものを覗いたり、クッキーを乗っ取ったりすることはできません。

■アイコンが発している警告の意味は？

安全なウェブサイトでも、画像など、一部のコンテンツは、HTTPSではなく、HTTPを通じて提供されている場合があります。たとえば、公共ホットスポットで銀行アカウントを閲覧している場合、ページの情報にはHTTPS接続が使われている一方、銀行のロゴは、HTTP接続で提供されているケースがあるのです。この場合、同じネットワークにいるユーザは、銀行のロゴは見られるかもしれませんが、HTTPSを通じてやりとりされている個人的な情報は見られません。このように、HTTP接続で供給されているコンテンツと、HTTPS接続で提供されるコンテンツが混在する場合、アイコンは「黄色」もしくは「赤」で表示されます。

「黄色」のアイコンは、HTTP経由で供給されているコンテンツが含まれているときに表示されます。しかし、セキュリティリスクを示すコンテンツではないでしょう。

「赤」のアイコンは、JavaScriptのような、ページを変更しうるハイリスクなコンテンツが含まれているときに表示されます。ゆえに、「赤」のアイコンには注意が必要です。信頼できないネットワークにいて、機密性の高いウェブページで「赤」アイコンが表示されたら、そのページは閲覧しないほうがよいでしょう。ハッカーによって、パスワードやクッキーを盗まれてしまうかもしれません。

■Gmailでグリーンアイコン以外のものが出てきたら？

Gmailでは、HTTPS接続がデフォルトになっているので、最初の読み込みや再読み込みのときは、グリーンのアイコンが表示されるはずです。ただし、HTMLで書かれたメールを開いたり、Gmailに埋め込み画像の表示を許可し、これらの画像がHTTPSを使っていないウェブサイトから読み込まれると、Chromeのアイコンがグリーンから「黄色」に変わり、警告を発します。またGmailでは、メールと受信トレイの間で移動するとき、再読み込みをしないので、自分でGmailを再読み込みしない限り、アイコンはコンテンツが混在している状態のままとなります。つまり、「黄色」のアイコンは、Gmailが安全でないと示しているのではありません。閲覧中のすべてのものが暗号化されているわけではないことを意味しているのです。もちろん、Gmailを再読み込みすれば、グリーンのアイコンが表示されます。

さらにFette氏によると、Gmail上でアイコンがグリーンにならない原因として、Gmail Labsの機能や、ブラウザの拡張機能があげられるそうです。Gmailチームでは、Labsの機能をHTTPSにしようとしていますが、これはまだ100％実現していません。また、拡張機能にいたっては、Chromeチームでコントロールは不可能です。拡張機能やLabsの機能をまったく使わずにGmailを利用している場合は、「赤」アイコンがGmailで現れることはないでしょう。

■安全でないものを見つけ出すには？

ウェブページ上のすべてのものが、HTTPSで提供されていないことがわかるだけでも十分ですが、何が安全でないのかを正しく特定できるとさらに安心ですね。Chromeのアドレスバーにある「レンチ」ボタンをクリックし、「ツール」＞「デベロッパーツール」を選択。「Console」をクリックし、さらに「Warnings」をクリックすると、安全でない箇所がメッセージ表示されます。

たとえば、原文筆者がGmailで試してみた例だと、以下の画像のように表示されました。これにより、彼のお気に入りのワインショップ「K&L」からのメールに貼り付けられていた画像が、HTTPSからのものでないということがわかります。

いかがでしたか？ これでChromeがGmailを安全でないと警告する理由がわかったかと思います。

Adam Pash （原文／訳：松岡由希子）

これだけは知っておきたい サーバの常識 [単行本（ソフトカバー）]