Googleは現地時間5月2日、ChromeがURLが「https://」から始まるサイトを読み込むとき、アドレスバーに表示される鍵アイコンを新たな「調整(tune)」アイコンに置き換える方針を発表しました。
まずデスクトップ版の全般的なデザイン刷新の一環として、2023年9月初旬にリリースされるChrome 117で登場。それと同時にAndroid版の鍵アイコンも置き換えられる予定です。
HTTPSとは、ブラウザがウェブサーバから情報を取得する際に使うプロトコル「HTTP」を基に、SSL(暗号化通信)によりセキュリティを高めたもの。1990年代のNetscape初期バージョンからHTTPSでサイトを読み込むと鍵アイコンが表示されていましたが、これはHTTPSを広めてウェブをできる限り安全にしようとする運動の一部でした。
しかし、今ではHTTPSが標準となり、Windows版のChromeでは95%以上がHTTPSを使ったチャンネルを経由しています。逆にいえば悪意のあるサイトでさえ、ほとんどがHTTPSを使っているということです。
もともと鍵アイコンは、ブラウザとサイト間のネットワーク接続がセキュアであり、第三者によるネットワーク接続の改ざんや盗聴ができないことを示しているだけです。つまり、ウェブサイトの信頼性を裏付けるものではありませんが、鍵の形は誤解を招きかねないというわけです。
実際、2021年の調査では鍵アイコンの意味を正しく理解している人は、調査参加者のわずか11%に留まりましたが、ほぼ全てのフィッシングサイトがHTTPSを使って鍵アイコンも表示されているため、理解していないとしても大きな影響はないという残念なことになっています。
米FBIもサイバー犯罪者が「https」と「鍵のアイコン」に対する一般の人々の信頼を利用している」として注意を呼びかけており、すでに実害に繋がっているようです。
そこで、今後は鍵アイコンを「調整」アイコンに置き換えることにしました。デザイン変更の基準は「信頼できる」を意味しない、クリックしやすい、設定アイコンを想起させる、以上3点だと述べています。
また調整アイコンに置き換える理由の1つは、鍵アイコンをクリックするとサイトのセキュリティ情報や接続設定が表示されることを、多くのユーザーが理解していないと分かったため。デザインの変更により、そのアイコンがあるだけでサイトに信頼性があると誤解することを防ぎつつ、セキュリティ情報の確認などを分かりやすくすることが狙い、との趣旨です。
新たなアイコンにはそれ以上の追加機能はなく、データを暗号化せず平文で送信するHTTPサイトは今後も「セキュアではない」と警告され続けることになります。
デスクトップ版とAndroid版のChromeでは、鍵アイコンは2023年9月初旬から同時に置き換えが始まる予定です。一方iOSでは鍵アイコンはタップできない(機能が割り当てられていない)ため、完全に削除されます。
鍵アイコンが廃止されることは、Google等がめざしたHTTPSの普及がほぼ達成したことを意味していますが、同時にフィッシングサイトに悪用される負の側面もあったようです。FBIが注意喚起しているように「メールに記載されている名前を単純に信用せず、メール内容の意図を疑ってみる」「既知の連絡先からリンク付きの不審なメールを受け取った場合、そのメールが本物かどうかを電話またはメールで確認する」などを徹底した方がいいでしょう。
