Essay 76

Google Chromeのセキュリティ設定

和戸川の関連書籍「サイバー世界戦争の深い闇
2021年10月30日
和戸川 純
最もよく使われているブラウザ

世界で最もよく使われているブラウザが、Google Chromeだ。ロボットと呼ばれるソフトウェアが、世界中のWebサイトを巡回。集めたデータをもとにして独自の計算を行い、検索結果の順序を決定する。この検索システムの優秀さによって、検索エンジンでトップに上りつめた。Googleは、検索エンジン以外にも、スマホやOSなどの分野でさまざまなサービスを提供している。Googleの社会的な位置づけを、拙著「サイバー世界戦争の深い闇」に書いたので、興味のある方は読んでいただきたい。

私は、私のサイトへのアクセス状況を知るために、Google Analyticsを利用し、サイトの各ページにGoogle AdSenseを載せ、とてもささやかな広告費を得ている。電子書籍をGoogle Playブックスで販売もしている。Googleには頭が上がらないが、Googleに不都合な設定も含めて、できる限り高度なセキュリティ設定法を、このページで述べる。

* * * * * * * *

ブラウザのChromeや検索エンジンのGoogleを利用すると、多くの個人情報が収集される。Googleは、入手した検索履歴や閲覧履歴、それに場所情報などの個人情報に基づいて、ユーザーが関心を抱く広告やニュースを表示する。Googleによる個人情報へのアクセスをブロックすることは、技術的に不可能だ。外部からの悪意のあるアクセスを阻止することは、設定次第で可能になる。

ブラウジングで次の問題が発生する場合は、不正なソフトウェアやマルウェアが、パソコンにインストールされている可能性がある。

上のような「気配」を全く感じられないサイバー攻撃が、とても多いことを、頭に入れておきたい。

基本設定「シークレットウインドウ」
図1.通常モードのChrome画面

まず最初にシークレットモードに設定したい。通常モードのChromeを開く。上のバーの右にあるアイコン「︙(Google Chromeの設定)」を左クリックすると、図1のメニューが現れる。「新しいシークレットウインドウ」を選択。

図2.シークレットウインドウ

図2のシークレットウインドウに切り替わる。説明文にある「詳細」をクリックして、「プライバシーが保護される仕組み」を知ることができる。要点は次の通り。

図3.常時シークレットウインドウにする

常時シークレットウィンドウで開く設定は、次のようにする。Chromeのアイコンを右クリックし、表示されたメニューにある「プロパティ」を選択。現れた図3のメニュー画面で「ショートカット」を選択すると、「リンク先」コードが表示される。そのコードの最後に「-incognito」と入力する。「-incognito」の前に1字分のスペースが必要。「OK」をクリックして設定を完了。

「設定」からセキュリティの詳細設定へ入る
図4.「設定」トップ画面

図2のメニューで「設定」を選択すると、図4のウインドウが現れる。右のメニューにある「同期とGoogleサービス」の「▶」を左クリック。

図5.オートコンプリートは「オフ」

表示された図5のメニューで、「検索語句やURLをオートコンプリートする」は、「オフ」にしたい。オートコンプリートは、入力した文字をブラウザが記憶し、次回入力時に、前の入力内容を自動的に表示する機能だ。IDやパスワード、それに検索ワードの次回入力において、手間がはぶける。しかし、コンピューターがマルウェアに感染すると、オートコンプリートで保存されたデータが窃取される。

図6.パスワードは保存しない

図4「設定」メニュー画面の左サイドバーで、「自動入力」を選択。画面の右に表示されたメニューで「パスワード」の「▶」を左クリックすると、図6のウインドウが表示される。便利さよりも安全を重視し、「パスワードを保存できるようにする」も「自動ログイン」も「オフ」にする。
パスワード保存を「オン」にした場合は、「パスワードを確認」の「▶」を左クリックし、現れた画面の「不正使用されたパスワード」で、データ侵害の有無を確認するようにしたい。

基本的な保護機能
図7.安全確認とセキュリティ設定

図4「設定」メニューの左サイドバーで、「プライバシーとセキュリティ」を選択。図7のウインドウが表示されるので、「安全確認」の「今すぐ確認」をクリックする。不正使用されたパスワードなどが検出されたり、Chrome最新版への自動アップデートが実行されたりする。パスワードの不正使用が確認された場合は、パスワードを早急に変更する。

図8.セーフブラウジングの選択

安全確認時に、図8の「安全確認」のメニューが表示される。「セーフブラウジング」の「▶」を左クリック。

図9.保護機能の強化

表示された図9のメニューで、「保護強化機能」を選択する。ログイン時のセキュリティとブラウジング時の安全が、強化される。また、危険なイベント、不正なソフトウェア、危険な拡張機能、フィッシング、パスワード漏洩、安全ではない可能性のあるサイトなどについて、警告が表示される。この警告を見逃さないようにしたい。
「標準保護機能」を選択すると、閲覧サイトのURLがセーフブラウジングに送信されず、危険サイトの確認が行われない。また、ログイン時に使用アプリの安全性チェックが行われない。

Googleが重視するセキュリティ対策
図10.HTTPSサイトへ接続

図9の「セーフブラウジング」メニューを下へスクロールすると、図9では表示されていない、図10の「詳細設定」メニューを見つけられる。「常に安全な接続を使用する」を「オン」にする。これによって、HTTPSサイトへ誘導されるか、HTTPSがサポートされていないサイトでは、読み込む前に警告が表示される。HTTPSサイトでは、サーバーによる運営者の確認が行われ、サーバーからブラウザへの通信が暗号化されるので、不正侵入が阻止される(HTTPS/SSLの証明)。データの改ざん、情報の詐取、盗聴、なりすましなどが防止される。HTTPSサイトのURLは、「http://」ではなく「https://」で始まる。アクセスしたサイトがHTTPSサイトかどうかは、ブラウザの上部アドレスバーを見れば分かる。

Webサイトのブラウジング時に、ブラウザが、サイトのアドレスであるドメイン(DNS)を提供しているサーバーにアクセスする(DNS ルックアップ)。DNS ルックアップは、「セキュアDNSを使用する」を「オン」にすると暗号化されるので、アクセスが安全になる。

Googleは、安全性向上のためにHTTPSとセキュアDNSを重視していて、HTTPSサイトが検索結果で上位に表示される。

* * * * * * * *

図10のメニューの最下段にある、「Googleの高度な保護機能プログラム」の「矢印アイコン」を左クリック。セキュリティ機能強化のために、Googleアカウントへログインする。

図11.2段階認証でセキュリティ強化

ログイン後に数テップで図11のウインドウへ至る。「セキュリティキーを登録する」をクリックして手続きを開始。2段階認証でセキュリティが強化される。アカウントのログインにおける保護機能高度化、なりすましによる不正アクセスの防止、有害なダウンロードのブロック、標的型オンライン攻撃の防御などが、可能になる。

有害なソフトウェアを削除
図12.有害ソフトウェアの検出・削除

図4の左サイドバーで「詳細設定」の「▼」を左クリック。左サイドバーに図12のメニューが表示されるので、「リセットとクリーンアップ」を左クリック。右に表示されたメニューで、「パソコンのクリーンアップ」の「▶」を左クリックする。
図12の画面が表示される。右のメニューの「有害なソフトウェアの検出」で「検索」をクリックする。パソコンにインストールされている、有害なソフトウェア、システム設定、プロセスなどが検出され、削除される。

* * * * * * * *

図4「設定」トップ画面の左サイドバーで、「拡張機能」の「矢印アイコン」を左クリック。ブラウザの機能を強化するアドオンのインストールをする。不正プログラムが埋め込まれているアドオンがあるので、信用できるサイトから信用できるアドオンをダウンロードする。

図13.インストールしたアドオン

私がインストールしたアドオンを図13に示したので、参考にしていただきたい。全部がセキュリティ関連のアドオンだ。

* * * * * * * *

図4の左サイドバーに表示された、「プライバシーとセキュリティ」をクリック。表示された「プライバシーとセキュリティ」のメニューを、図7に示した。「閲覧履歴データの削除」の「▶」を左クリック。

図14.閲覧履歴の削除

図14の「閲覧履歴データの削除」メニューが表示される。削除データの期間設定は、完璧を期して「全期間」にする。「基本設定」を選択して「データを削除」をクリックすると、「閲覧履歴」、「Cookieと他のサイトデータ」、「キャッシュされた画像とファイル」が削除される。
「詳細設定」を選択して、メニューをスクロールダウンすると、他に「ダウンロード履歴」、「パスワードとその他のログインデータ」、「自動入力フォームのデータ」、「サイトの設定」、「ホストされているアプリのデータ」の削除が、可能になることが分かる。こちらを選択したい。

サードパーティーCookieの深刻なリスク

Cookieは、ブラウジング時にアクセス情報をブラウザに記録するための、小さなプログラムだ。そこに、ID、パスワード、メールアドレス、訪問回数などのユーザー情報が保存される。その情報が、再ブラウジング時にブラウザからWebサイトへ渡されるので、Webサイトによるユーザーの特定が可能になる。個人情報が書き込まれたCookieを盗んだ攻撃者は、ログインプロセスなしで、他人のアカウントへアクセスできるようになる。

図15.Cookieのブロック

図7の「Cookieと他のサイトデータ」の「▶」を左クリック。「全般設定」のメニューが 、図15のように表示される。このメニューでCookieの受け入れレベルを設定する。ここでは「サードパーティーのCookieをブロックする」を選択。
サードパーティーCookieは、ユーザーが訪れているサイトとは別のサイトによって発行される。閲覧ページに第三者の広告が載っていると、このCookieが自動的に埋め込まれることがある。知らない間に第三者によって閲覧情報が収集されたり、サードパーティーの広告に追いかけられたりする。GoogleはこのCookieを廃止する予定だ。

「すべてのウィンドウを閉じるときにCookieとサイトデータを削除する」を「オン」にする。「閲覧トラフィックと一緒に「トラッキング拒否」リクエストを送信する」を「オン」にすると、閲覧していることを相手に知らせることになる。これは「オフ」。「ページのプリロード」は便利だが、Cookieを許可していると閲覧情報が流出する。「ページをプリロードして、閲覧と検索をすばやく行えるようにする」は「オフ」にする。
「動作のカスタマイズ」メニューで、「常にCookieを使用できるサイト」の「追加」をクリックし、Cookieの使用を許可するサイトを登録できる。

極めて多岐にわたるアクセス権限
図16.アクセス権限の許可・不許可

図7の「プライバシーとセキュリティ」のメニューから、「サイトの設定」の「▶」を左クリック。図16の「権限」のメニューが表示される。
ローカルニュースや店情報が必要なユーザーは、「位置情報」の「▶」を左クリックし、アクセス権限をサイトに与える。 位置情報を隠したい場合は「アクセスを許可しない」を選択。「カメラ」や「マイク」をユーザーが知らない間にオンにして、ユーザーを盗聴・盗視するサイバー攻撃があるので、必要がなければ「▶」を左クリックし、「使用を許可しない」を選択。サイトからのメッセージを必要とせず、チャットもやらなければ、同様にして「通知」で「サイトに通知の送信を許可しない」を選択。「バックグラウンド同期」は、ユーザーがサイトから離れたあとも、写真のアップロードやメッセージの送信を継続する機能。必要を感じなければ、「データの送受信の完了を許可しない」を選択。

* * * * * * * *

「その他の権限」の「V」を左クリックすると、多数の設定項目が現れる(図は省略)。セキュリティと関連する項目の設定は次の通り。
「自動ダウンロード」を許可すると、関連する複数のファイルをまとめてダウンロードする。全ファイルの素性を知ることは困難なので、 「複数のファイルの自動ダウンロードを許可しない」を選択。「プロトコルハンドラ」は、特定のリンクをクリックしたときに、メールを作成したり、カレンダーに予定を追加するようなタスクを、サイトでできるようにする。不正なプログラムを呼び出す脆弱性が存在するので、「プロトコルの処理を許可しない」を選択。多くのサイトが、データを保存するためにUSBデバイスに接続する。 マルウェアが感染したUSBデバイスを介して、他のデバイスにマルウェアが感染しないように、「USBデバイス」では、「USBデバイスへの接続を許可しない」を選択。

各種システムのネット接続によく使われるシリアルポートには、脆弱性が存在するので、「シリアルポートへの接続を許可しない」を選択。
「ファイルの編集」を有効にすると、サイト上でデバイスのファイルやフォルダにアクセスして、編集できる。必要性を感じなければ、安全のために「ファイルやフォルダの編集を許可しない」を選択。アクセスしたサイトに「支払いハンドラ」のインストールを許可すると、次回からの支払い手続きが簡単になる。しかし、 リスクを考慮して、「支払いハンドラのインストールを許可しない」を選択。

プログラムに必須なJavaScriptへの対応
図17.注意が必要なJavaScript

図16の「その他の権限」の下に、図17の「コンテンツ」のメニューが表示されている。
「JavaScript」の設定には注意が必要。JavaScriptは汎用性の高いプログラム言語で、ブラウザで多用されている。HTMLやCSSなどの他のプログラミング言語と組み合わされて、Webサイトが構築されている。JavaScriptでプログラムされるのは、自動スクロール処理、ポップアップウインドウの表示、入力フォーム、プラグイン、アニメーション表示、階層メニューの表示など多彩だ。

この多機能性が、犯罪者にチャンスを与える。キーボードの操作を記録するJavaScriptのキーロガーが、不正プログラムに取り換えられると、入力されたパスワードなどが窃取されてしまう。cookie情報や、クリップボードに一時保管される情報を盗む、不正なJavaScriptもある。これらのJavaScriptの検出・駆除は困難なので、セキュリティソフトのインストールが必要。その対策だけでは不十分。怪しい動きがないかどうかを、常に注意深く監視していたい。

図18.JavaScriptの設定

図17の「JavaScript」の「▶」を左クリックして、図18のメニューを開く。JavaScriptを使用停止にするとブラウジングに支障を来すので、「デフォルトの動作」のメニューで「サイトがJavaScriptを使用できるようにする」を選択。
より注意深い設定を行うならば、「サイトにJavaScriptの使用を許可しない」を選び、「動作のカスタマイズ」メニューから「JavaScriptの使用を許可するサイト」を登録する。許可したサイトのみ、JavaScriptが機能する。

ポップアップの脆弱性

ポップアップとは、ブラウザの画面上で別のウィンドウを開く仕組み。リンクボタンをクリックしたり、ページを移動すると自動的に立ち上がる。広告表示に普通に使われる。不要な広告を次々に表示させるアドウェアや、個人情報を外部へ漏洩させるスパイウェアが、この機能を不正に利用する。

図19.ポップアップの脆弱性

図17のメニューで、「ポップアップとリダイレクト」の「▶」を左クリック。図19のメニューが表示される。「デフォルトの動作」メニューで、「サイトにポップアップの送信やリダイレクトの使用を許可しない」を選択。
ただし、パスワードの入力フォームが、ポップアップになっているサイトがある。その場合は、「動作のカスタマイズ」メニューから、「ポップアップの送信やリダイレクトの使用を許可するサイト」で「追加」をクリックし、ポップアップを許可するサイトを登録する。

図17メニュー最下段の、「その他のコンテンツの設定」の「V」を左クリック。現れたメニューから「広告」の「▶」を左クリック。怪しい広告をブロックするために、「誤解を招く広告が表示されるサイトで広告をブロックする」を選択する。

* * * * * * * *

Google Chromeのセキュリティ設定はかなりややこしい。当ページの説明が、皆さんに役立つことを願っている。


広告(Googleアドセンス)