激増する悪質サイトに検出自動化で対応、GoogleがChromeのセキュリティを説明

Googleのイアン・フェッティ氏

　グーグル株式会社は29日、ウェブブラウザー「Google Chrome」のセキュリティに関する記者説明会を開催した。

　米GoogleでChromeのセキュリティ担当プロダクトマネージャーを務めるイアン・フェッティ氏は、「Googleではオンライン上の脅威に対して、ブラウザーこそが第一線の防御であるという認識でセキュリティを高めることに取り組んできた」と語り、ユーザーをあらゆるステップで脅威から保護することを目指していると説明。Googleにはフルタイムのセキュリティ担当エンジニアが250人以上働いており、さらにセキュリティ周辺分野には100人のエンジニア、Chromeの開発チームにも専任のセキュリティ担当エンジニアを置いているとした。

　ウェブにおける脅威としては、フィッシングサイトやマルウェア配布サイトに対する取り組みを進めており、これまでにもセーフブラウジングなど各種のセキュリティ機能をChromeに取り入れてきたと説明。Googleではウェブ検索のためにサイトをクローリングしており、この情報を利用してフィッシングサイトやマルウェアサイトへのアクセスに対して警告を表示するセーフブラウジングの仕組みをChromeに導入している。

　Googleでは、フィッシングサイトについては銀行やGmail、Yahoo!などのログイン画面に似せたサイトを自動検出するようになっており、マルウェア配布サイトについても仮想マシン上で実際にサイトにアクセスし、どのような挙動を起こすかを監視することで自動的に悪質なサイトを検出する仕組みを構築している。

　フェッティ氏は「これらの検出を自動で行っていることが重要だ」として、Googleが検出しているフィッシングサイトやマルウェア配布サイトは現在では1日1万件にも上っており、自動化することでネット全体への対応が可能になっていると説明。この仕組みは「セーフブラウジングAPI」として、FirefoxやTwitter、Facebookなど外部にも提供しており、6億人以上のブラウザーユーザーを保護しているという成果をアピールした。

悪質なサイトにアクセスした際に警告を表示するセーフブラウジング	Firefox、Twitter、Facebookなど外部にも提供

　また、Chromeでは6週間ごとに自動アップデートが行われるが、以前の調査では平均的な家庭ユーザーはブラウザーのアップデートがリリースされてから1カ月程度経ってから更新を行っており、ユーザーがアップデートを行う負荷を減らすとともに、何もしなくても最新版を使うようにすることが重要だと考えたと説明。

　このほか、コンテンツを保護された環境下で動作させるサンドボックス機能や、各タブを独立したプロセスとして他に影響を及ぼさないようにする設計の導入、脆弱性の発見者に対して報奨金を支払うプログラムではこれまでに累計1億円以上を支払うなど、セキュリティに対して取り組んできた結果、高速であるだけでなく安全なブラウザーとして政府機関などからも高い評価を受けるようになったとした。

　しかし、フェッティ氏は「ここで手を緩めるわけにはいかない」と語り、攻撃を仕掛ける側も常に進歩しているため、「その一歩先を行くことでユーザーを守っていく」という姿勢は今後も変わらないとした。

自動アップデートやサンドボックスなどの仕組みでセキュリティを強化	脆弱性の発見者には報奨金を支払うプログラムなどを実施