2023年09月07日 07時15分 公開
特集/連載

人気ブラウザ「Chrome」が“危ない”とGoogleが決断したのはなぜ?脆弱性と戦うGoogle【前編】

世界的に普及している「Chrome」を狙うサイバー攻撃が激しい。この動きに対抗するため、GoogleはChromeに対してある決断を下した。その内容と背景とは。

[Alex ScroxtonTechTarget]

関連キーワード

Google Chrome | Google | 脆弱性 | Chromium


 Webサイトへのアクセス解析サービスを提供するStatCounterは、自社サービスのトラフィック情報を基にWebブラウザのシェア(ページビューベース)を調査、公開している。その結果によると、2022年8月から2023年8月にかけて、世界におけるWebブラウザのシェア1位は、GoogleのWebブラウザ「Chrome」であり、利用率は平均約65%だった。

 そのChromeのポリシーが変わる。Googleは2023年8月に、新バージョン「Chrome 116」の配布を開始した。同時に、以降のバージョンについて、Chromeのセキュリティアップデートやパッチ(修正プログラム)の配信頻度を上げると発表した。その狙いとは。

Googleが警戒する「Webブラウザに迫る危険」とは?

 脆弱(ぜいじゃく)性は主に2種類ある。1つ目は、ベンダーが脆弱性の情報や脆弱性を修正するパッチを公開していない「ゼロデイ脆弱性」だ。2つ目はベンダーがパッチを公開済みの脆弱性で、「Nデイ脆弱性」と呼ばれる。

 ChromeはオープンソースソフトウェアのWebブラウザ「Chromium」を基にしており、GoogleはChromeのソースコードを公開している。そのため攻撃者は、Chromeに新たな脆弱性が見つかると、その脆弱性を悪用したプログラムを簡単に開発して、エンドユーザーがパッチを適用する前に攻撃できてしまう。

 今回のポリシー変更は、サイバー攻撃者がNデイ脆弱性を悪用できる期間を狭め、エンドユーザーを保護する狙いがある。Googleが提供するChromeのアップデートは、約4週間ごとに配信するメジャーアップデートの他に、メジャーアップデートの間に1回配信するマイナーアップデートがある。マイナーアップデートはバグの修正や脆弱性の修正などを含む。同社はマイナーアップデートの配信頻度を、Chrome 116以降は、約1週間に1回に変更する。

 GoogleのChromeセキュリティチームのエイミー・レスラー氏は、ベンダーがパッチを公開してからエンドユーザーが適用するまでの期間を「パッチの溝」と表現する。「われわれは、パッチの溝を最小限に狭めるために、できるだけ早くセキュリティアップデートを配信することが非常に重要だと考える」とレスラー氏は言う。

 Googleは以前からパッチの溝を短縮することに取り組んでいる。2019年に公開した「Chrome 77」以降は、それまで平均約35日だったパッチの溝を約15日にまで短縮した。Chrome 116以降はさらに短縮されることになる。「Nデイ脆弱性が悪用される可能性は完全には排除できない。だがアップデート配信頻度の変更で、攻撃者がNデイ脆弱性を突ける期間は狭まり、いっそう攻撃しにくくなる」とレスラー氏は見込む。


 後編は、Chromeユーザーができることや気を付けるべきことを紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news046.png

B2Bマーケティング支援のFLUED、国内のEC/D2C企業20万社のデータベース「StoreLeads」を提供開始
B2Bマーケティング・営業DXを支援するFLUEDは、カナダのLochside Softwareが提供するECサ...

news054.jpg

サブスク動画配信サービスの市場規模が5000億円超え 最もシェアを伸ばしたサービスは?――GEM Partners調査
定額制動画配信サービスの市場規模は2020年以降、堅調に拡大しています。ただし、成長率...

news044.jpg

ビルコム、PR効果測定ツール「PR Analyzer」に海外ニュースのクリッピング機能を追加
ビルコムは、クラウド型PR効果測定ツール「PR Analyzer」に新機能「海外メディアクリッピ...