ニュースに戻る
リサーチ

2026年にChromeがHTTPS強制へ:セキュリティチームが知るべきこと

1分で読めますソース: Google Security Blog
Chrome security settings showing 'Always Use Secure Connections' toggle for HTTPS enforcement

Googleは2026年10月からChromeで「常時セキュア接続」をデフォルト化。HTTPサイトへのアクセスにユーザー許可を要求し、セキュリティ強化を図る。影響と対策を解説。

Chromeが2026年10月からHTTPSをデフォルトで強制へ

Googleは、Chrome 154(2026年10月)から「常時セキュア接続を使用」をデフォルトで有効化すると発表しました。この変更により、ユーザーはHTTPSを使用しない公開サイトにアクセスする前に許可を求められることになり、ブラウザのセキュリティ体制に大きな変化をもたらします。

主な詳細

  • タイムライン:この設定は、Chrome 147(2026年4月)拡張セーフブラウジングユーザーに先行導入され、その後**Chrome 154(2026年10月)**で全ユーザーにデフォルト適用されます。
  • 対象範囲:この機能は公開サイトのみに適用され、プライベート/ローカルネットワークアドレス(例:192.168.0.1intranet/)は除外されます。
  • ユーザーへの影響:Chromeは非HTTPSサイトに対して回避可能な警告を表示し、頻度は新規または訪問頻度の低いドメインに限定して混乱を最小限に抑えます。

技術的背景

Googleのこの決定は、HTTPに関連する持続的なセキュリティリスクに起因しています。主なリスクには以下が含まれます:

  • 中間者攻撃(MITM):攻撃者はナビゲーションを乗っ取り、マルウェアの注入、脆弱性の悪用、フィッシング攻撃を行うことができます。GoogleのThreat Analysis Groupは、HTTPを悪用した標的型攻撃の実例を報告しています。
  • 不可視のリダイレクト:多くのHTTPサイトは即座にHTTPSにリダイレクトしますが、これにより初期の非セキュア接続がユーザーやChromeの「安全でない」警告から隠されてしまいます。
  • HTTPS導入の停滞:Googleの透明性レポートによれば、現在公開サイトの95~99%がHTTPSを使用していますが、残りの5%のHTTPトラフィックは依然として重大なリスクをもたらします。プライベート/ローカルサイトでは、Linuxでの導入率が**84%**とさらに低い状況です。

影響分析

セキュリティ上の利点

  • 攻撃対象の縮小:HTTPSのデフォルト化により、公開サイトにおけるMITMリスクが軽減され、これらは攻撃の主要な標的となります。
  • HTTPS移行の促進:HTTPからHTTPSへのリダイレクトを使用している組織は、完全なHTTPS導入を促進されることになります。
  • ローカルネットワークの改善:GoogleのLocal Network Access許可により、承認されたローカルデバイスに対してHTTPSサイトは混合コンテンツブロックを回避でき、セキュアな構成が可能になります。

潜在的な課題

  • エンタープライズ/ローカルネットワークの摩擦:ルーターやIoTデバイスなどのプライベートサイトは、一意でない命名(例:192.168.0.1)のためHTTPS証明書を持たない場合がありますが、これらは公開サイトよりもリスクが低いとされています。
  • ユーザーの疲労:警告は新規または訪問頻度の低いサイトに限定されていますが、一部のユーザーには依然として煩わしく感じられる可能性があります。この設定はオプトアウト可能です。

推奨事項

  1. セキュリティチーム向け

    • HTTP使用状況の監査:今すぐChromeで「常時セキュア接続を使用」を有効化(chrome://settings/security)し、HTTPS移行が必要なサイトを特定します。
    • 公開サイトの優先:HTTPリダイレクトや混合コンテンツがあるドメインを重点的に確認し、警告のトリガーとなる可能性が高いサイトを対象とします。
    • ローカルネットワーク許可の活用:ChromeのLocal Network Access APIを使用して、ローカルデバイスとのHTTPSインタラクションをセキュアにします。

  2. 開発者/IT管理者向け

    • Googleのガイダンスの確認:エンタープライズ向けの緩和策については、導入ガイドを参照してください。
    • 事前テスト:Chrome 147(2026年4月)を導入し、内部ツールやプライベートサイトとの互換性を検証します。

  3. ウェブサイト所有者向け

    • HTTPリダイレクトの排除:すべての公開ドメインが直接HTTPSで読み込まれるようにし、警告を回避します。
    • プライベートサイトの証明書取得:ローカルネットワーク向けには、Let’s Encryptや内部CAなどのソリューションを検討します。

今後の展望

Googleは、特にローカルネットワークサイトにおけるHTTPS導入の障壁をさらに低減する計画です。将来的にはプライベートドメインへの保護も拡大する可能性がありますが、具体的なタイムラインは発表されていません。

現時点では、セキュリティチームはこの変更を残存するHTTP依存の排除MITM脅威に対するウェブインフラの強化の契機として捉えるべきです。

Chromeセキュリティチーム(Chris Thompson、Mustafa Emre Acer、Serena Chen、Joe DeBlasio、Emily Stark、David Adrian)より投稿。

共有

TwitterLinkedIn