トピックス 2021.04.29 Google Chromeのセキュリティは万全なのか？GAFA企業への圧力が強くなるなかで選ぶべきブラウザの新基準とは

2021年1月の「Webブラウザシェアランキング」では、日本でのChromeのバージョン87.0とChrome for Androidを合わせたシェア率が48.29%、世界ではChrome バージョン87.0と 88.0を合わせて57.01%と、いずれも2位以下を大きく引き離しています。

世界にはFirefox、Edge、Operaなど様々なブラウザがあるなかで、なぜGoogle Chromeが選ばれているのでしょうか。

GAFAにとって逆風と言われる今、セキュリティ面を考慮したブラウザを選択するための新しい基準について検証しました。

Google Chromeは、Googleが提供する純正のブラウザです。

Googleアカウントを利用することでメールやカレンダーなど他のサービスと連動し、パソコンとスマートフォンでの同期も簡単にできます。

Google Chromeには、フィッシング・サイトや不審なウェブサイトに対する警告及び自動的にインストールされないようにする「サインボックス機能」、全ての更新プログラムを自動的にインストールし、セキュリティ上の欠陥を取り除く「自動更新機能」などが搭載されています。

デメリットとしては、Googleが各ユーザーのステップやクリックを追跡する能力を持っているためプライバシーが守られているかどうかが懸念される点が挙げられます。

Mozilla Foundation社が開発した、狐がシンボルのブラウザです。 2011年までは「火狐」という愛称で呼ばれ、高いシェア率を誇っていました。

Firefoxは「サンドボックス機能」により、アクセスしたウェブサイト上の追跡をブロックし、ハッキングを防御してくれます。

さらに、ブラウザ上で Tor のアドオンを有効化することで、ネットワーク上のプライバシーを最大限に守ることができます。

デメリットとしては、拡張機能を搭載し過ぎた場合に動作が遅くなりクラッシュを繰り返すことが挙げられます。

Microsoft Edgeは、シェア率が下がったInternet Explorerの後継ブラウザです。 

Internet Explorerよりも高機能で、Microsoftが提供している他のサービスとの相性が良く、今後の成長に期待できます。

Windows 10 内蔵のブラウザは、フィッシング・サイトや悪意あるサイトの検出率が Chrome や Firefox よりも高いとセキュリティ面で評価されています。

さらに、Chrome に近い「サンドボックス手法」はFirefox が提供しているものよりも優れており、プライバシーに関する点では最も安全なブラウザと言われています。

デメリットは、自動更新プログラムを無効にしているユーザーは、最新のセキュリティ・パッチや脆弱性の修正プログラムを受け取ることはできない点です。

Operaは、ノルウェーのOpera Software ASA社が開発したブラウザです。

 Operaは、他の端末との同期ができるのはもちろん、データを圧縮する機能を搭載しており、インターネット接続時の通信量の節約が可能です。

悪意のあるプロセスを含んでいる可能性のある広告を防ぎ、特定のサイトに匿名でアクセスが可能です。また、Do Not Track 機能により、プライバシーも保護されています。

しかし、デメリットは、Opera自体がユーザーに関する情報を一部収集し、信頼関係のあるパートナーと情報共有されてる可能性が懸念されるという点です。

Google Chromeの安全性において最も問題視されているのは「解決済みメモリの脆弱性」です。

「解決済みメモリの脆弱性」とは、解放済みのメモリを参照した際にプログラムに様々な問題が生じることです。

具体的には、悪意のある Webページ内のコードにより複数の解放済みメモリにエラーが引き起こされ、リモートなどで任意コードを実行される危険性があります。

Googleは、Chromeのコードベースに存在する深刻なセキュリティバグの約70％が、このようなメモリ管理とメモリの安全性に関する問題であると報告しています。

メモリの脆弱性を引き起こす原因のひとつとして、CとC++を主要なプログラミング言語として用いられていることが指摘されています。

このような問題はGoogleのみならず、主要なブラウザを開発する企業で頻発しています。

例えば、Microsoftでは、自社製品のすべてのセキュリティアップデートの約70％が、メモリの安全性が原因であり、CおよびC++の代わりとなる言語に多大な投資をしています。

さらに、Firefox の非営利団体であるMozillaは、CおよびC++による修正を辞め、Rustプログラミング言語を大幅に採用することで飛躍的進歩を遂げました。

Googleでも、メモリ関連のバグに対応するため「Rule Of 2」と呼ばれるルールに従って、CまたはC++で記述されたコードを可能な限り回避しながら開発を進めています。

Googleのセキュリティはアップデートを繰り返し進化し続けていますが、プライバシーに対する扱いに関しては、州法務長官や司法省から厳しい目を向けられています。

Googleは世界最大手のオンライン広告企業であり、独自の事業を数多く抱えているため、Chromeにおける変更は多くのパートナーに甚大な影響を与えかねません。

そのため、競合するブラウザプロバイダーと比較して、プライバシー保護の要となるCookieの扱いに対して厳格ではありませんでした。

しかし、Googleは2020年1月、ユーザーがより安全に閲覧する措置として、Chromeの第三者に対するCookieのサポートを「2年以内」に打ち切る計画を発表しました。

最新のアップデートにおいても、第三者のCookieをデフォルトでブロックすることが可能になり、広告主から情報を保護する姿勢がみられます。

Googleは、今後も業界関係者と協力して、Cookieの新しい広告機能のさまざまな状況での成果についてテストを行うとしています。

Chromeにおける第三者へのCookieの打ち切りは、ユーザーにとっても、セキュリティのみならずプライバシーを保護を考慮してブラウザを選ぶ時期に差し掛かっていることを示していると言えるでしょう。

かつてのインターネット勃興機には、国家権力や企業から「暗号」によって、いかに自由を守るかという「サイファーバンク」と呼ばれる思想が根底にありました。

しかし、現在「GAFA」に代表される中央集権的なプラットフォームが台頭し、多大な利便性を享受する一方で、自由と信頼が失われ、経済及び技術的格差や情報の不均衡などが生じています。

例えば、米Googleは2020年10月、米司法省から反トラスト法（独占禁止法）違反の疑いで連邦地裁から提訴されました。

Google Chromeを標準搭載する見返りに、アップルに巨額の対価を支払い、スマートフォン各社には、競合する検索サービスの初期搭載を禁じていたという内容です。

Googleのような巨大IT企業に対する提訴は約20年振りであり、今回の提訴はデジタル市場の将来を大きく左右する可能性があります。

このような状況で、次世代ブラウザとして注目されているのがBrave Softwareが開発している「Brave」です。

「Brave」を創業したのは「Firefox」の開発元として有名なMozillaの前CEOで、JavaScriptの開発者でもあるBrendan Eich氏です。

Braveの大きな特徴は、プライバシー保護に優れており、広告主の収益がブロックチェーンを用いたBasic Attention Token（BAT）という仮想通貨による寄付で賄われていることです。

Braveは、Webサイトや広告に搭載されている個人を特定するプログラムをブロックし、閲覧履歴を隠すだけでなく、アクセスしたサイトからアドレスを遮蔽し全ての接続を暗号化します。

さらに、デフォルトで広告をブロックする代わりに、ブラウザのパフォーマンスに大きく影響せず、個人データを使うターゲティングも行わない広告を配信しています。

広告を表示するかどうかや頻度は、ユーザー自身が決めることができます。

特定の広告を閲覧することでユーザーはBasic Attention Token（BAT）という仮想通貨を入手し、気に入ったウェブサイトに寄付することができます。

敢えて懸念事項をあげると、Braveは個人情報の収集をしていないので、広告主にとっては既存のブラウザ以上に効果が出せるのかどうか、広告主の収入源がユーザーからの寄付で収益を予測しにくいことがあげられます。

しかし、GAFA的なビジネスに対抗し、インターネットに「信頼」を取り戻す可能性のある技術のひとつである「ブロックチェーン」を用いたBasic Attention Tokenは、国家権力や企業から「暗号」によっていかに自由を守るかという「サイファーバンク」を具現化する大いなる可能性を秘めています。

現在、Braveは資金調達も順調で、ユーザー数も2021年2月2日には、過去1年間で月間アクティブユーザー数が1.160万人から2.540万人へと倍増し次世代ブラウザとしての期待が高まっています。

世界にはFirefox、Edge、Operaなど様々なブラウザがあるなかで、Google ChromeはGoogleやアカウントを利用した様々なサービスを連動する利便性などにより、世界のブラウザ市場で最も高いシェアを獲得しています。

Google Chromeの安全性において最も問題視されているのは「解決済みメモリの脆弱性」ですが、「Rule Of 2」という新たなルールを設けてセキュリティ強化が進められています。

一方、プライバシーに対する扱いに関しては、州法務長官や司法省から厳しい目を向けられており、第三者へのCookieの打ち切りなど対応を迫られ苦境に立たされています。

今後、GAFAによる中央集権的なプラットフォームから脱却し、既存の広告から一線を画したBraveのようなブラウザが主流となる可能性もあると考えられます。

【関連リンク及び書籍】

・WebブラウザシェアランキングTOP10日本国内・世界https://webrage.jp/techblog/pc_browser_share/

・「Chrome」の深刻なセキュリティ脆弱性、70％はメモリー安全性の問題
https://japan.zdnet.com/amp/article/35154338/

・注目の脆弱性： WebKit で発見された複数の脆弱性
https://gblogs.cisco.com/jp/2020/12/talos-vuln-spotlight-webkit-use-after-free-nov-2020/

・Basic Attention Token
https://basicattentiontoken.org/ja/

・Google による Cookie 廃止、「2年間」の猶予に歓迎の声
https://digiday.jp/platforms/google-plans-kill-off-third-party-cookies-chrome-within-2-years/

・小林弘人著「After GAFA 分散化する世界の未来地図」株式会社KADOKAWA 2020年
https://www.kadokawa.co.jp/product/321904000130/

TEXT：セキュリティ通信 編集部
PHOTO：iStock