すでにご存知の方もいらっしゃるかもしれませんが、2023年9月8日にリリースされた「Google Chrome 117」で、アドレスバーの左端に表示されていた鍵マークが「tuneアイコン」と呼ばれる新しいアイコンに変更されました。この変更を受け当ブログでは、鍵マークが廃止された経緯や、アイコンの役割などを解説します。

鍵マークの本来の意味

近年、常時SSL化（全ページSSL化）が一般的になっており、URLがhttpsから始まり、先頭に鍵マークが表示されるウェブサイトは信頼できる安全なサイトであると広く認識されています。

Microsoft Edgeの場合

Mozilla Firefoxの場合

しかしウェブサイトにSSLが導入され、鍵マークが表示されていたとしても、それはウェブブラウザとウェブサーバ間でのデータ通信が暗号化されていることを示すものに過ぎないので、データが盗聴や改ざんからは守られていますが、そのウェブサイト自体の信頼性を保証するものではありません。

Googleの近年の調査によると、検索エンジンを介したトラフィックの95%がHTTPS通信であったため、世界中の95%のウェブサイトがSSLを導入していると言っても過言ではありません。

一方、悪意のあるなりすましサイトの詐欺被害も世界規模で増加傾向にあり、フィッシングサイトですらSSLが導入されていると言い換えることができます。これにはLet's Encryptのように取得する上での審査基準が緩い無償SSLを巧みに利用して、SSLを導入した巧妙なフィッシングサイトが多く散見されるという状況が関係しています。

米FBIも「https」と「鍵マーク」に対する人々の誤認をサイバー犯罪者が悪用していると注意を呼びかけているように、SSLが使われていて「https」や「鍵マーク」が表示されているからといって、安全なウェブサイトであると判断することはとても危険です。

安全なサイトとフィッシングサイトの見極め方

信頼できるウェブサイトとフィッシングサイトを区別するには、設定されているSSLの詳細を確認することが非常に有効です。鍵マークをクリックするとウェブサイトの運営組織などSSL取得時に審査された情報を確認することができます。

例えば、最も審査が厳しく信頼度の高いEVSSL証明書を使用しているウェブサイトでは、ウェブサイト運営元の企業や、そのSSLを発行した会社の情報が記載されています。これにより、なりすましではない正規のウェブサイトであるかを判断でき、無料SSLではない正規のSSLが利用されていることに安心できます。

Google Chromeで鍵マークを廃止

「鍵マークが表示されているだけで安心」という誤認を懸念して、主要ブラウザであるGoogle Chromeではアドレスバーの鍵マークを廃止し、新たな「調整（tune）アイコン」に置き換える方針を発表しました。

新たな「調整（tune）」アイコンのデザインは、

以上3点の意図があります。

今回の変更により、表示されているアイコンだけでサイトの正当性が判別されるリスクが低減され、同時にセキュリティ情報を確認できる新しいアイコンとしての理解が広がり、従来よりもクリック率の向上も期待されるそうです。

まとめ

Google Chromeにおける鍵マークの廃止は、正しいウェブサイトの識別方法についての認識を広げるきっかけとなります。

これにより、信頼できるSSL発行元による、サイト運営元の実在性審査の重要性が高まっています。具体的には、ドメイン認証のみで発行されるSSLよりも信頼度の高い、より取得時に審査が厳重なSSL（企業実在認証、EV認証など）の需要が高まることが期待されます。ウェブサイト運営者は、信頼できる発行元から高い認証レベルのSSLサーバ証明書を取得し、信頼性の高いウェブサイトであることをアピールすることが重要です。