~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > ニュース > 協議会からのお知らせ > Google Chrome における混在コンテンツのブロック(2021/04/01)

協議会からのお知らせ

Google Chrome における混在コンテンツのブロック(2021/04/01)

2021年04月01日

Google は、ユーザーを安全でないコンテンツのダウンロードから保護するために、段階的に Mixed content(以下、混在コンテンツ)に対する警告・ブロックを強化しており、すでに公開されている Chrome 88 以降では画像なども表示しなくなったと公表しています。サーバー管理者は、管理運営を行うサイトで Chrome によりエラーや警告が出ていないことを確認してください。
https://blog.chromium.org/2020/02/protecting-users-from-insecure.html

【何故、混在コンテンツを制限するのか】

混在コンテンツとは、"https(暗号通信)" でアクセスできるウェブサイトのページのなかに、"http(暗号化されない平文通信)" で読み込まれるコンテンツが存在していることを言います。

ウェブサイトが "https" であっても、ページ内のリンク先に "http" でアクセスするファイルがある場合、改ざんされたファイルが送信されても検知できず、悪意ある第三者によってマルウェアなどへ差し替えられる可能性があるため、これらの脅威からユーザーを保護することを目的として GoogleはChrome における段階的な混在コンテンツの制限を行っているのです。

【警告表示、ブロックの段階と Chrome のバージョン】

wg_20210331_1.png

Chrome 84 から Chrome 87 で段階的に警告が表示され、最終的に Chrome 88 以降でブロックされることになっています。この警告は、"https"(暗号化された)ウェブサイト上にある "http"(暗号化されていない平文の)ファイルをダウンロードする際に表示されます。

表中の「 Executables 」は、拡張子が exe などの実行ファイルです。もしこの実行ファイルが悪意ある第三者によって改ざんされていた場合には、マルウェア感染などの被害になる可能性があります。
「 Archives 」は、 ZIP などの圧縮ファイルです。こちらも改ざんされている場合、危険度が高くなります。

「 All other non-safe types 」は、すべての安全でないファイル形式で PDF、DOCX のようにマクロ等で悪意あるコードが埋め込まれる可能性があるものです。

「 image、audio、video、text 」は、画像、音声、動画やテキストファイルが対象となります。

【混在コンテンツの有無を確認する方法(例)】

ブラウザのアドレスバーに「保護されていない通信」と表示されている場合は注意が必要です。

混在コンテンツがある場合

wg_20210331_2.png

混在コンテンツがない場合

wg_20210331_3.png

wg_20210331_4.png

( Console warning の警告表示例)

wg_20210331_5.png

(ブラウザ上の警告表示例)

「 Console warning 」は、Chrome のデベロッパーツールにある「 Console 」に警告メッセージが表示され一般ユーザーの目に触れる機会はありませんが、「 Warn 」は、ブラウザ上で警告が表示され一般ユーザーの目に触れるようになります。「 Block 」は、ファイルがブロックされ一般ユーザーの操作を制限してしまいます。

【警告表示、ブロックの回避方法は】

警告表示やブロックを回避するためには、すべてのコンテンツを "https" 化し、ウェブサイトすべてを常時 SSL 化することが必要です。その対策範囲と方法については、下記の関連情報内にある【1:サーバーの設定について】をご参照ください。

【関連情報】

常時 SSL に向けてサイト運営者が知っておくべき基礎知識

<証明書普及促進 WG >

主査:田上 利博 (サイバートラスト株式会社)

副主査:稲葉 厚志 (GMO グローバルサイン株式会社)

<会員組織>

阿部 貴 (デジサート・ジャパン合同会社)

石川 堤一 (キヤノンマーケティングジャパン株式会社)

伊藤 健太郎 (一般財団法人日本情報経済社会推進協会)

加藤 孝浩 (トッパン・フォームズ株式会社)

輿石 達哉 (セコムトラストシステムズ株式会社)

古関 孝生 (セコムトラストシステムズ株式会社)

白岩 一光 (株式会社日本レジストリサービス)

林 正人 (デジサート・ジャパン合同会社)

山賀 正人 (CSIRT 研究家)

米谷 嘉朗(株式会社日本レジストリサービス)

<本件に関するお問い合わせ先(報道関係も含む)>

フィッシング対策協議会事務局(JPCERT コーディネーションセンター内)

E-mail: antiphishing-sec@jpcert.or.jp