2023年8月8日(火)、Googleは「Google Chrome」のセキュリティアップデートを「Chrome 116」以降は毎週配信するように変更すると発表しました。
ブラウザのセキュリティとは何か?
Google Chromeは世界で最も人気のあるWebブラウザのひとつです。インターネットを利用する際には様々なサイバー攻撃から自分のデバイスやデータを守ることが重要です。そのためにはブラウザのセキュリティを常に最新の状態に保つことが必要です。
しかし、ブラウザのセキュリティは常に脅威にさらされています。攻撃者はブラウザの脆弱性を突くためにエクスプロイトと呼ばれる攻撃コードを開発します。エクスプロイトは既知の脆弱性を利用するものと未知の脆弱性を発見するものとに分けられます。前者は「Nデイ」攻撃、後者は「ゼロデイ」攻撃と呼ばれます。
Google Chromeのセキュリティアップデートの仕組み
Google ChromeはオープンソースプロジェクトであるChromiumをベースにしています。Chromiumは誰でもソースコードを閲覧したり、改善や修正の提案をしたりできます。これはブラウザの開発に多くの人が参加できるというメリットがありますが、同時に攻撃者にも情報が公開されてしまうというデメリットがあります。
例えば、Chromiumでセキュリティ修正が行われた場合、それが一般ユーザーに提供されるまでの間に攻撃者はその修正内容を分析してエクスプロイトを作成することができます。このような「Nデイ」攻撃を防ぐためには「パッチギャップ」と呼ばれるセキュリティ修正からアップデートまでの時間をできるだけ短くする必要があります。
Google Chromeのセキュリティアップデートの頻度が変わる理由
そこでGoogleはChromeのセキュリティアップデートの間隔を短縮することを発表しました。これまでは2週間ごとに安定版チャネルにアップデートを配信していましたが、「Chrome 116」からは毎週配信するようになります。これにより「パッチギャップ」を平均で3.5日早くすることができるとしています。
また、「Chrome 116」からは新しいアップデート通知も実験的に導入されます。これはユーザーがアップデートをすぐに適用するよう促すためのものです。アップデートの適用にはブラウザの再起動が必要ですが、タブの状態は保存されて次回起動時に復元されるため(シークレットモードのタブは復元されません)、作業中断の心配はありません。
まとめ
Google Chromeはセキュリティアップデートを毎週配信することで「Nデイ」攻撃のリスクを低減しようとしています。インターネットの安全性を高めるためにもユーザーは常に最新のブラウザを利用することが望ましく、Google Chromeのアップデート通知が表示されたら、すぐに適用しましょう。