2017年の4月ですので今から4ヶ月ほど前ですが、Googleはセキュリティ関連の情報を提供する公式ブログ「Google Online Security Blog」において、2017年10月後半に正式リリース予定の「Google Chrome 62」より、SSL(TLS)で保護されていない状態で接続(http:// で接続)しているWebページに入力フォームがある場合、この接続は安全でないですよと知らせる警告をアドレスバーで表示する機能を初期状態で有効にするという方針を発表しました。
どのように警告されるのか
まず、Google Chrome には通常モードとシークレットモードという2種類の動作モードがあります。
シークレットモードというのは、Google Chromeに閲覧した内容などが記憶されないようにブラウジング(所謂、プライベートブラウジング)が可能なモードで、閲覧履歴、Cookieやサイトのデータ、フォームへの入力情報はブラウザに保存されません。一方の通常モードは普段多くの方が利用しているモードになります。
今回取り上げている「Google Chrome 62」における警告表示については、この動作モードによって多少の差があります。
まず通常モードの時ですが、Webページが読み込まれた段階では特に警告は出さず、入力フォームに対してデータを入力しようとすると警告が表示されることになります。一方のシークレットモードでの動作時は、Webページが読み込まれた時点で警告が表示されます。
通常モード時の警告表示例として下記の画像を掲載しますが、画像左側がウェブページを読み込んだ状態で、この時点ではアドレスバーに警告は表示されません。しかし、Webページ内の入力フォームにテキストを入力し始めると、画像右側のようにアドレスバーに変化が起こり、「保護されていません」という警告が表示されます。なお、シークレットモードの場合は、Webページを読み込んだ時点で右側のように警告が表示されます。
Google Chrome 62に置ける警告の表示例。通常モードではWebページ読み込み時には警告は表示されず(画面左側)、入力フォームへの入力を開始すると警告が表示される(画像右側)
今年4月の時点で発表されたのは上記変更についてなのですが、数日前、「Google Chrome 62」のリリースまで約2ヶ月となったところで、Google サーチコンソールから、一部のWebサイト管理者宛に本件に関する注意喚起を伴ったメールが配信されました。
これは、現時点でSSL保護されていないWebページに、入力フォームが設置されていることが確認されたWebサイトオーナーを対象に送信されたものですが、実際にこのようなメールが送られてきて困惑したり対応を急がないといけないと焦るWebサイト担当者様も多いのではないでしょうか。
対応策は3つ
本件への対策としては、下記の通り大きく3つの方法があります。
- Webサイト全体、もしくは入力フォームが設置されたWebページをSSLで保護する
- SSL対応はせず、入力フォームを撤去する
- 特に気にせず無視する
まず、今回の件にかかわらず、個人情報やパスワードなど、重要な情報を送信する入力フォームはSSLによる暗号化通信に対応したWebページに設置するべきで、もし、このようなフォームの通信経路が暗号化されていないのであれば、即座に対応するべきです。
今回の件は、例えばサイト内検索フォームなど、そこに入力されるデータが仮に通信経路で盗聴された場合でも致命的な問題にはならないフォームに関して、それでも警告を表示しますという話であり、それに対応する方法としては上記した3つのアプローチが考えられるということになります。
最も確実なのはWebサイト全体のSSL対応
当然ですが、最も推奨されるのはWebサイト全体をSSLによって保護する方法です。特に大きな導入障害がない場合はこの方法を選択し、正しくWebサイトをSSL対応させることで、今回の件への対応のみでなく、Webサイトの安全性や、なりすましといった企業の信頼性やブランドイメージを毀損する可能性がある被害から自社のWebサイトを保護することにもつながるでしょう。
WebサイトのSSL対応については、下記のコラムでまとめていますので参考までにご覧ください。
もし、どうしてもSSLの導入が難しい場合、警告が表示されるのを避けたいのであればフォーム自体をWebページから無くしてしまう、あるいは気にせず特に対策をしないというどちらかを選択することになります。
本件はあくまでGoogle Chromeによる表示変更の話であって、これによって例えばWebサイトの検索順位に悪い影響を与えたり、ましてやGoogleなど検索エンジンからペナルティを受けたりする類いのものではありません。
また、前述の通り、サイト内検索フォームに入力されるキーワードなど、一般的に秘匿性の高いデータでなければ、それによって利用者のデータやプライバシーを危険に晒す可能性も低いと考えて問題ないでしょう。
ですから十分な準備もなく、あるいは知識もないまま中途半端に間違った対応をしてしまうくらいでしたら無視してしまうというのもひとつの判断ですし、しっかりと準備が整ってからの対応でも問題はないでしょう。
今後はSSLによる接続が標準の流れに
このような入力フォームが設置されたWebページに対するブラウザ側での警告機能については、Google Chromeだけでなく、Mozillaが開発するFirefoxでも同様に実装が行われるなど、閲覧者のデータやプライバシーの保護に関する取り組みは今後も強化されるでしょう。
また、Googleなどを中心に技術仕様の策定と対応が進む、PWA(Progressive Web Apps)においてはSSL対応が必須になるなど、WebサイトのSSL対応は、今後避けて通れない当たり前のものとなる流れです。
しかし一方で、正しい知識を持ってSSLの導入や設定を行わなければ、セキュリティ上の問題や機能上の問題を生む可能性もありますので、自社サイトのSSL対応時には専門家への相談をお勧めします。