ニュースに戻る
リサーチ

Android版Chromeが高度な保護機能でセキュリティを強化

1分で読めますソース: Google Security Blog
Chrome settings screen showing Always Use Secure Connections toggle for HTTPS-First Mode

GoogleのChrome Security Teamが、Android版Chromeに高度な保護機能を統合。HTTPS-First Mode、完全なSite Isolation、JavaScript攻撃面の縮小により、高リスクユーザーのセキュリティを強化。

Android版Chromeが高度な保護機能でセキュリティを向上

GoogleのChrome Security Teamは、Android版ChromeにAdvanced Protection(高度な保護)を統合し、ジャーナリストや選挙関係者、著名人などの高リスクユーザーに対して堅牢なセキュリティ対策を提供することを発表しました。このアップデートは、AndroidのAdvanced Protection Programの一環として、Chromeに3つの主要なセキュリティ強化機能を導入します:HTTPS-First Mode完全なSite Isolation、そしてJavaScript攻撃面の縮小です。

主要なセキュリティ強化機能

1. 常時安全な接続を使用(HTTPS-First Mode)

Advanced Protectionでは、HTTPS-First Modeがデフォルトで有効化され、すべての接続(公共・私的を問わず)が暗号化されたHTTPSを使用するようになります。これにより、データの傍受や不正なHTTP経由での悪意あるコンテンツの注入といったリスクが軽減されます。Android版Chromeでの平文HTTPのページ読み込みは1%未満ですが、標的型攻撃の重要な攻撃経路として残っており、例えば2023年のエジプト選挙時には悪用された事例があります。

  • すべてのユーザー向け:ChromeはHTTPS-First Modeを段階的に拡大しており、以下の機能が含まれます:
    • 公共サイトのみ警告を表示するバリアント(192.168.0.1などのローカルネットワークは除外)。
    • シークレットモードでの自動適用(Chrome 127、2024年6月以降)。
    • 頻繁に訪問するサイトでのHTTPSからHTTPへのダウングレード防止(Chrome 133、2025年1月以降)。

企業は、HTTPSOnlyModeおよびHTTPAllowlistポリシーを通じて設定可能です。

2. モバイルでの完全なSite Isolation

従来はデスクトップ版Chromeに限定されていたSite Isolationが、Advanced Protectionの下で4GB以上のRAMを搭載したAndroidデバイスに拡張されました。これにより、各ウェブサイトが独立したOSレベルのプロセスで隔離され、悪意あるサイトが他のタブのデータにアクセスしたり、脆弱性を悪用することを防ぎます。Advanced Protectionを利用しない場合、Android版Chromeはメモリ節約のため、ログイン済みまたはフォーム送信を行うサイトのみを隔離します。

3. JavaScript攻撃面の縮小

Advanced Protectionでは、V8の高レベルJavaScriptオプティマイザが無効化されます。これはパフォーマンス向上に寄与する一方で、V8の脆弱性の約50%がこのオプティマイザに起因していました。このトレードオフにより、一部のウェブサイトでパフォーマンス低下が生じる可能性がありますが、セキュリティが強化されます。

  • 企業向け制御DefaultJavaScriptOptimizerSettingポリシーを使用して、オプティマイザを無効化しつつ、信頼できるSaaSベンダーを許可リストに登録可能。
  • ユーザー向け制御:Chrome 133以降、サイト設定でオプティマイザのオン/オフをサイトごとに切り替え可能。

影響と推奨事項

高リスクユーザー向け

Advanced Protectionは、標的型脅威にさらされるジャーナリストや公職者などを対象としています。セキュリティを最大化するために:

  • GoogleアカウントでAdvanced Protection Programを有効化し、フィッシング耐性のあるMFAを必須に。
  • Android 16以上、Chrome 137以上でAdvanced Protectionを有効化。
  • 新たな脅威に対応するため、デバイスとブラウザを常に最新の状態に保つ。

企業向け

組織はChrome Enterpriseポリシーを活用して、以下の設定を行うことができます:

  • 管理対象デバイス全体でHTTPS-First Modeを強制。
  • 対象のAndroidデバイスで完全なSite Isolationを有効化。
  • JavaScriptオプティマイザを無効化しつつ、重要なアプリケーションを許可リストに登録。

ウェブサイト運営者向け

警告を回避し、データの機密性を確保するために、HTTPSを導入してください。HSTSヘッダーを使用してプロトコルのダウングレードを防止しましょう。

結論

GoogleがAndroid版ChromeにAdvanced Protectionを統合したことは、リスクベースのセキュリティモデルを反映しており、パフォーマンスと保護のバランスを取っています。デフォルトのChrome設定はほとんどのユーザーにとって十分なセキュリティを提供しますが、これらの強化機能は高リスクユーザーや機密データを扱う企業にとって重要な保護を提供します。脅威が進化する中、Chromeはブラウザセキュリティの基準を引き上げつつ、使いやすさを損なわないよう努めています。

Advanced Protectionは、Android 16以上、Chrome 137以降で利用可能です。

共有

TwitterLinkedIn