Google Chrome runs web pages and applications with lightning speed.

Chromium Blog: Improving plug-in securityにおいて、Chromeで取り組まれているプラグイン周りのセキュリティ機能が簡単に紹介されている。どのように悪意ある行為を実施できるようにするかといった簡単な説明もあり、Webブラウザを使う場合にどういった危険性があるのかを知るための参考になる。

悪意ある行為は典型的にはマルウェアをインストールさせることで実施されるという。マルウェアがインストールされると、オンラインバンクのパスワードが盗まれたり、重要なファイルが盗まれたり、ネットワークの乱用などを実施される可能性がある。マルウェアをインストールさせる方法としては次の3つが紹介されている。

  1. マルウェアをインストールする偽装実行ファイルを実行させる。
  2. すでに公表されているがまだユーザがセキュリティパッチを適用していない脆弱性を利用する。
  3. まだ発見されていないブラウザのセキュリティ脆弱性を利用する。

こうした危険性に対しては次のような対策がとられていると説明がある。

  1. OSやメールシステムのレベルでそうした危険性の高いファイルの検出や無効化が実施されている。
  2. セキュリティパッチの自動アップグレード機能を提供する。
  3. サンドボックス内で動作させることでセキュリティ強化を実現する。未知の脆弱性を利用された場合でも、さらにサンドボックスプログラムの脆弱性発見する必要があり、結果的に未知の脆弱性を利用したマルウェアのインストールが困難になる。Vista以降のIE7以上またはChromeが提供している。

OSやブラウザレベルでのセキュリティが日々堅固なものになっていることで、攻撃者の対象はブラウザそのものからより簡単に脆弱性を利用できるプラグインに向きつつあるという。こうしたプラグインに対するためのChromeの次の取り組みが紹介されている。

  • about:pluginsからプラグインを個別に有効にしたり無効にしたりできる。
  • ツールボタン、高度な設定、プラグインの設定項目で、プラグインの実行を特定の許可したサイトのみに限定可能。
  • Adobe Flash Playerの組み込みと自動アップデートの実施。
  • PDFビューアをサンドボックス内へ統合。
  • 古いプラグインの実行拒否とアップデートの支援。
  • あまり使われていないプラグインの掲示と状況に応じた警告の表示。
  • より進んだセキュリティを実現するためのサンドボックスプラグインAPI Pepperの開発と実装。

about:pluginsで個別にプラグインを有効にしたり無効にしたり実施可能

プラグインを実行するサイトを指定可能

ブラウザにおけるプラグイン周りのセキュリティ機能強化は今もっともホットなトピックのひとつ。Chromeに限らずほかの主要ブラウザも開発を進めており、向こう数ヶ月から1、2年で大きく状況が変化するとみられる。