Essay 76

Google Chromeのセキュリティ設定

和戸川の関連書籍「サイバー世界戦争の深い闇
2021年10月30日(更新2024年3月29日)
和戸川 純
ユーザーが最も多いブラウザ

世界で最もよく使われているブラウザが、Google Chromeだ。ロボットと呼ばれるソフトウェアが、世界中のWebサイトを巡回。集めたデータをもとにして独自の計算を行い、検索結果の順序を決定する。この検索システムの優秀さによって、検索エンジンでトップに上りつめた。Googleは、検索エンジン以外にも、スマホやOSなどの分野でさまざまなサービスを提供している。Googleの社会的な位置づけを、拙著「サイバー世界戦争の深い闇」に書いたので、興味のある方は読んでいただきたい。

* * * * * * * *

ブラウザのChromeや検索エンジンのGoogleを利用すると、多くの個人情報が収集される。Googleは、入手した検索履歴や閲覧履歴、それに場所情報などの個人情報に基づいて、ユーザーが関心を抱く広告やニュースを表示する。Googleによる個人情報へのアクセスをブロックすることは、技術的に不可能だ。悪意のある外部からのアクセスを阻止することは、注意深くセキュリティ設定をすれば可能になる。

ブラウジングで次の問題が発生する場合は、不正なソフトウェアやマルウェアが、パソコンにインストールされている可能性がある。

上のような「気配」が全くないサイバー攻撃が、とても多いことを、頭に入れておきたい。当記事では、ネットユーザーの利便よりも安全を重視した、セキュリティ設定を述べる。利便重視のユーザーは、セキュリティレベルを下げていただきたい。

基本設定「シークレットウインドウ」

まず最初にシークレットモードに設定したい。通常モードのChromeを開く。上のバーの右端にあるアイコン「︙(Google Chromeの設定)」をクリックし、表示されたメニューから「新しいシークレットウインドウ」を選択する。

図1. シークレットウインドウを開く シークレットウインドウを開く

図1のシークレットウインドウに切り替わる。説明文にある「詳細」をクリックして、「プライバシーが保護される仕組み」を知ることができる。要点は次の通り。

その下に「サードパーティーのクッキーをブロックする」と書いてある。これはデフォルトでオンになっている。サードパーティーのクッキーについては後述する。

図2. 常時シークレットウインドウにする

常時シークレットウィンドウで開く設定は、次のようにする。Chromeのアイコンを右クリックし、表示されたメニューにある「プロパティ」を選択。現れた図2のメニューで「ショートカット」を選択すると、「リンク先」コードが表示される。そのコードの最後に「-incognito」と入力する。「-incognito」の前に1字分のスペースが必要。「OK」をクリックして設定を完了。

「設定」からセキュリティの各項目へ入る
図3. 「設定」のトップ画面

図1で上のバーの右端のアイコン「︙(Google Chromeの設定)」をクリックし、表示されたメニューから「設定」を選択する。図3のウインドウが現れる。右のメニューにある「同期とGoogleサービス」をクリックする。次のウインドウで、Chromeの機能、ブラウジング、スペルチェック、検索候補などの改善に協力する設定をできる。

図4. パスワードは保存しない

図3の「設定」画面左サイドバーで「自動入力とパスワード」をクリック。右に表示されたメニューから「Googleパスワードマネージャー」をクリックする。次の画面の左サイドバーにある「設定(歯車)」をクリックすると、図4が表示される。利便よりも安全を重視し、「パスワードを保存できるようにする」、「自動ログイン」、「Windows Helloを使用してパスワードを入力する」などをオフにする。

図5. 安全チェックとセキュリティ設定

図3の「設定」画面左サイドバーで「プライバシーとセキュリティ」をクリック。表示されたメニューの右側にある「安全チェック」の項目で、「今すぐ確認」をクリックする。チェックの結果は、図5の「安全チェック」でくくられた枠内に表示される。Chrome最新版への自動アップデートが実行され、不正使用されたパスワードがあれば、その検出結果が報告される。パスワードの不正使用が確認された場合は、パスワードを早急に変更する。保護機能(セーフブラウジング)の可否も判定される。

図6. 閲覧履歴の削除

閲覧履歴の削除は容易だ。図5の「プライバシーとセキュリティ」の項目下にある「閲覧履歴データの削除」をクリックする。図6の削除メニューが表示される。削除データの期間設定は、完璧を期して「全期間」にする。「基本設定」を選択して「データを削除」をクリックすると、「閲覧履歴」、「Cookieと他のサイトデータ」、「キャッシュされた画像とファイル」などが削除される。キャッシュは閲覧データの一時保存に使用され、キャッシュによって次回アクセス時に読み込みが速くなる。
「詳細設定」を選択してメニューをスクロールダウンすると、「ダウンロード履歴」、「パスワードとその他のログインデータ」、「自動入力フォームのデータ」、「サイトの設定」、「ホストされているアプリのデータ」などの削除が、追加で可能になることが分かる。「データを削除」をクリックする。

図5の「プライバシーガイド」で、検索とブラウジングを改善するためのヒントを得ることができる。「プライバシーガイド」をクリックして、表示された画面で「次へ」をクリック。「次へ」のクリックを繰り返すと、「検索とブラウジングを改善する」と「保護強化機能」がデフォルトでオンになっていることが分かる。「保護強化機能」には危険なイベントの発生を予測して、警告する機能が含まれる。

サードパーティーCookieの深刻なリスク

Cookieは、ブラウジング時にアクセス情報をブラウザに記録するための、小さなプログラムだ。そこに、ID、パスワード、メールアドレス、訪問回数などのユーザー情報が保存される。これらの情報が、再ブラウジング時にブラウザからWebサイトへ渡されるので、Webサイトによるユーザーの特定が可能になる。個人情報が書き込まれたCookieを盗んだ攻撃者は、ログインプロセスなしで他人のアカウントへアクセスできるようになる。

図7. Cookieのブロック

図5の「プライバシーとセキュリティ」の項目下にある、「サードパーティーCookie」をクリック。表示された図7の画面でクッキー関連の設定をできる。ここではCookieの受け入れレベルを「サードパーティーのCookieをブロックする」にしている。サードパーティーのCookieは、ユーザーが訪れているサイトとは別のサイトによって発行される。閲覧ページに第三者の広告が載っていると、その広告のCookieがブラウザに自動的に埋め込まれることがある。知らない間に第三者によって閲覧情報が収集されたり、サードパーティーの広告に追いかけられるようになる。
サードパーティーのCookieをブロックして不都合が生じる場合は、最下段にある「サードパーティーCookieの使用が許可されているサイト」の項目で、閲覧サイトを「追加」する。

「関連サイトにグループ内のアクティビティの確認を許可する」と「閲覧トラフィックと一緒に「Do Not Track」リクエストを送信する」はオフ。「Do Not Track」リクエストを送信すると、ユーザーがアクセスしているのを教えることになる。

「すべてのサイトデータと権限を表示」をクリックして表示されたページで、閲覧と関連する「すべてのデータを削除」できる。

Googleが重視する保護機能
図8. 保護機能の強化

図5の「安全チェック」の項目下にある「セーフブラウジング」をクリックする。表示された図8のメニューで、「保護強化機能」を選択する。ログイン時のセキュリティとブラウジング時の安全が、強化される。また、危険なイベント、不正なソフトウェア、危険な拡張機能、フィッシング、パスワード漏洩、安全ではない可能性のあるサイトなどについて、警告が表示される。この警告を見逃さないようにしたい。
「標準保護機能」を選択すると、閲覧サイトのURLがセーフブラウジングのチェックを受けず、危険性の確認が行われない。また、ログイン時に使用アプリの安全性チェックも行われない。

「詳細設定」の項目に含まれる、「常に安全な接続を使用する」をオンにする。これによってHTTPSサイトへ自動的に誘導される。HTTPSサイトでは、サーバーによる運営者の確認が行われる。さらに、サーバーからユーザーのブラウザへの通信が暗号化されるので、不正侵入が阻止される(HTTPS/SSLの証明)。データの改ざん、情報の詐取、盗聴、なりすましなどが防止される。HTTPSサイトのURLは、「http://」ではなく「https://」で始まる。アクセスしたサイトがHTTPSサイトかどうかは、ブラウザの上部アドレスバーを見れば分かる。当サイトのURLはhttps://essay-hyoron.com/だ。HTTPSがサポートされていないサイトでは、読み込む前に警告が表示される。

「アクセスするサイトの名前を暗号化する」もオンにする。Webサイトのブラウジング時に、ブラウザが、サイトのアドレスであるドメイン(DNS)を辿ってサーバーにアクセスする。暗号化をオンにするとアクセス先のDNSが暗号化され、アクセスの秘匿性が保たれる。

Googleは、安全性向上のためにHTTPSとセキュアDNSを重視していて、HTTPSサイトが検索結果で上位に表示される。

* * * * * * * *

サイトのパフォーマンスを向上させるV8エンジンは、デフォルトでオンになっている(「V8のセキュリティを管理する」)。スマホをセキュリティーキーとして使用する場合は、「スマートフォンの管理」から設定する。アクセスするサイトが安全ではない可能性がある場合は、サイトアドレスの横のアイコンが変わる。「Chromeで管理されている証明書」をクリックして詳細を知ることができる。

最高レベルのセキュリティを確保

さらに高度な保護機能は、図8最下段の「Googleの高度な保護機能プログラム」から入り、いくつかのステップを踏んで設定する。

図9. 最も強力なセキュリティ設定の入り口

設定ステップの途中に図9の解説ページがある。よく読んで納得したならば「使ってみる」をクリック。設定を完了するために、セキュリティキーを購入し登録することが必要になる。設定が終わると、2段階認証でログインすることになる。

極めて多岐にわたる外部からのアクセス
図10. アクセス権限の許可・不許可

図5の「プライバシーとセキュリティ」の項目下にある「サイトの設定」をクリック。図10の画面が表示され、多種多様な個人情報へ外部からアクセスが可能であることが分かる。
ローカルニュースや店情報が必要なユーザーは、「位置情報」をクリックし、アクセス権限をサイトに与えるか否かの設定ページを開く。 サイト別に権限を与えることが可能。「カメラ」や「マイク」をユーザーが知らない間にオンにして、ユーザーを盗聴・盗視するサイバー攻撃があるので、必要がなければ「カメラ」と「マイク」をクリックし、次ページで「使用を許可しない」を選択。サイトからのメッセージを必要とせず、チャットもやらなければ、「通知」で「サイトに通知の送信を許可しない」を選択。アクセスしたサイトに、他のサイトのコンテンツ(画像など)が埋め込まれていることがある。その埋め込みコンテンツによる情報収集を拒否するために、「埋め込みコンテンツ」の設定ページへ入って「ブロックする」にする。

* * * * * * * *

「その他の権限」をクリックすると、多数の設定項目が現れる(図は省略)。セキュリティと関連すると思われる項目は次の通り。各項目をクリックしてサイト別に許可・不許可を設定できる。

「バックグラウンド同期」は、サイトから離れたあとも写真やメッセージを送受信する。「送受信の完了を許可しない」を選択。「自動ダウンロード」で複数のファイルがまとめてダウンロードされる。「自動ダウンロードを許可しない」を選択。
「プロトコルハンドラ」は、メールを作成したりカレンダーに予定を追加する。不正プログラムを呼び出す脆弱性が存在するので、「処理を許可しない」を選択。
多くのサイトがデータ保存のためにUSBデバイスに接続する。USBデバイスにマルウェアを感染させないために、「USBデバイス」では「USBデバイスへの接続を許可しない」。システムのネット接続に使われるシリアルポートには、脆弱性が存在するので、「シリアルポート」では「シリアルポートへの接続を許可しない」。
デバイスのファイルやフォルダへ自動アクセスすることを拒否するために、「ファイルの編集」では「ファイルやフォルダの編集を許可しない」。サイトがクリップボードを読み取ることを拒否するために、「クリップボード」では「テキストや画像へのアクセスを許可しない」。

支払い手続きの簡素化のためにインストールされる「支払いハンドラ」では、「ハンドラのインストールを許可しない」。ゲームやナビ表示のためにカメラの位置を追跡する「拡張現実(AR)」では、「カメラ位置の追跡を許可しない」。

図10のメニューの最下段にある、「その他のコンテンツの設定」をクリック。表示された長いメニューから「煩わしい広告」をクリックする。怪しい広告をブロックするために、「煩わしい広告や誤解を招く広告が表示されることがわかっているサイトで広告がブロックされます」を選択。
「その他のコンテンツの設定」に戻って、「安全でないコンテンツ」をクリック。セキュリティで保護されていない画像などのコンテンツが埋め込まれていると、デフォルトでブロックされることが分かる。「デバイス上のサイトデータ」をクリックすると、一時的に保存されるログインやショッピングの情報が、ウィンドウを閉じると削除されることが分かる。

プログラムに必須なJavaScriptへの対応

図10の中項目「コンテンツ」の下に「JavaScript」がある。この設定には注意が必要だ。JavaScriptは汎用性の高いプログラム言語で、ブラウザのプログラム構築に多用されている。HTMLやCSSなどの他のプログラミング言語と組み合わせて、Webサイトが構築される。JavaScriptでプログラムされるのは、自動スクロール処理、ポップアップウインドウの表示、入力フォーム、プラグイン、アニメーション表示、階層メニューの表示など多彩だ。

この多機能性が犯罪者にチャンスを与える。キーボード操作の記録のために使われるJavaScriptのキーロガーが、不正プログラムに取り換えられると、入力されたパスワードなどが窃取される。Cookie情報やクリップボードに一時保管される情報を盗む、不正なJavaScriptもある。これらのJavaScriptの検出・駆除は困難で、セキュリティソフトのインストールが必要。その対策だけでは不十分なので、怪しい動きがないかどうかを常に注意深く監視していたい。

図11. JavaScriptの設定

図10の「JavaScript」をクリックして図11のメニューを開く。JavaScriptを使用停止にするとブラウジングに支障を来すので、「デフォルトの動作」のメニューで「サイトがJavaScriptを使用できるようにする」を選択。
より注意深い設定を行うならば、「サイトにJavaScriptの使用を許可しない」を選び、「動作のカスタマイズ」メニューから「JavaScriptの使用を許可するサイト」を追加登録する。許可したサイトではJavaScriptが機能する。

ポップアップの脆弱性

ポップアップとは、ブラウザの画面上で別のウィンドウを開く仕組み。リンクボタンをクリックしたり、ページを移動すると自動的に立ち上がる。広告表示に普通に使われる。不要な広告を次々に表示させるアドウェアや、個人情報を外部へ漏洩させるスパイウェアが、この機能を不正に利用する。

図12. ポップアップの設定

図10のメニューにある中項目「コンテンツ」の下に、「ポップアップとリダイレクト」がある。それをクリックすると図12のメニューが表示される。「デフォルトの動作」で「サイトにポップアップの送信やリダイレクトの使用を許可しない」を選択する。
パスワードの入力フォームがポップアップになっているサイトでは、不都合を来たす。その場合は、「動作のカスタマイズ」の項目下にある、「ポップアップの送信やリダイレクトの使用を許可するサイト」で「追加」をクリックし、ポップアップを許可するサイトを登録する。

機能拡張をインストール

機能拡張は、ブラウザに機能を追加するための小さなプログラムだ。アドオンとも呼ばれる。不正プログラムが埋め込まれているアドオンがあるので、信用できるサイトから信用できるアドオンをダウンロードすることが大事になる。図3の画面の左サイドバーで「拡張機能」をクリックし、アドオンを入手するページへ入る。

図13. インストールしたアドオン

私がインストールしたアドオンを図13に示したので、参考にしていただきたい。セキュリティ関連のアドオンは、インターネットバンキングを狙ったウィルスを検知・駆除する「IBM Security Rapport」、不正アクセスを防御する「saat netizen」、リンク先の安全を評価する「Trendツールバー」、JavaScriptの実行に許可を出す「NoScript」だ。


広告(Googleアドセンス)