Google、Chromeのパスワード保護やフィッシング対策強化

Googleは、Chromeのパスワード保護を強化する仕組みなどを導入。パスワード漏洩や、フィッシングサイトへの対策機能が搭載される。バージョン79で順次適用。

パスワードを保護する仕組みとして、侵害されたパスワードの警告を行なう機能を搭載。Googleは、すでに漏洩した40億個の認証情報を保持しており、新機能では、ユーザー名とパスワードをそのデータベースと比較することで、ユーザー情報が危険にさらされているかを警告する。従来から「Password Checkup 拡張機能」として搭載されていたものと同様のしくみ。警告の通知があった場合はパスワードを変更するよう呼びかけている。

フィッシングサイトへの対策機能は2種類。一つ目は、「リアルタイムフィッシング保護」機能。従来は、あらかじめブロックリスト化された「安全ではないサイト」と比較することでサイトの危険性をチェックする「セーフ ブラウジング」機能があったが、リストの更新が30分ごとのため、素速くドメインを切り替えたり、Googleのクローラーから隠れるなどで一部のフィッシングサイトはこの更新間隔をすり抜けていた。

新たに導入されたリアルタイムフィッシング保護では、セーフ ブラウジングのサーバーがアクセスしたことがあるページのURLをリアルタイムに調査できる。ChromeはPC上に保存されている、安全であることがわかっているWebサイトのリストと比較し、リストに無い場合は、GoogleにURLを送って危険性を判断。危険な場合は警告を送る。悪意のある新しいサイトについてユーザーに警告することで、保護が30％強化されるという。この機能は「検索とブラウジングを改善する」を有効にしている場合に利用できる。

もう一つは既存の「予測的フィッシング保護」機能を拡張したもの。同期を有効にしていないユーザーにも適用され、Chromeのパスワードマネージャーに格納されているすべてのパスワードで動作する。

Chromeのパスワードマネージャーに保存したパスワードや、Chromeへのサインインに使っているGoogleアカウントのパスワードなど、保護されているパスワードを、通常と異なるサイトに入力した場合、Chromeが危険な可能性があると分類する。

Chromeはその後、PC上にある、安全なWebサイトのリストと照合し、これに記載が無い場合、GoogleにURLを送ってチェック。疑わしいか、悪意のあるサイトであることが分かると、Chromeが警告を表示し、パスワードの変更を促す。フィッシングされたのがGoogleアカウントのパスワードであった場合は、Googleに通知することも提案。Googleに通知することでアカウントが侵害されないように保護を強化できるという。

なお、Googleが保持するユーザー名とパスワードは、暗号化されたもので、Googleを含め誰もユーザー名とパスワードを解読できないとしている。