ぼちぼち日記

おそらくプロトコルネタを書いていることが多いんじゃないかと思います。

Google Chrome EV表示の終焉

1. Chrome でEV証明書の組織名表示がなくなる

ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。

現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織名+国名」表示が付いています。

f:id:jovi0608:20190812012752p:plain
Chrome76のEV表示

2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに「組織名+国名」が表示されるようになります。

Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく一部のサイトからEV表示を外すのかもしれません。下図は Chrome78 Canary のスクリーンショットです。

f:id:jovi0608:20190812012733p:plain
Chrome78のEV表示

以前よりGoogleChromeでEV表示を外すフィールド実験を行っていることは知られていました。

今回、Googleはこの大規模なChromeのフィールド実験結果を解析し、EV表示の効果はないということを統計的に示しました。 結果、ChromeのURLバーからEV表示を外すという方針を決めました。

以下はGoogleのアナウンス文からの引用翻訳です。

Chrome Security UXチームは、独自の調査と以前の学術研究の調査を通じて、EV UIがユーザーを意図したとおりに保護していないと判断しました(Chromiumドキュメントの詳細資料を参照)。

EV UIが変更されたり削除されたりしても、ユーザーはパスワードやクレジットカード情報の入力を避ける、といった安全な選択を行わないようです。EV UIが提供している防止策に意味があると言えるでしょうか。

さらにEVバッジは貴重な画面領域を占有し、派手なUIで紛らわしい会社名を積極的に提示したりします。 これは安全な接続に対して有益になるわけではなく、むしろ中立的な表示を目指しているChrome製品の方向性を妨げます。

これらの問題とその限られた有用性のために、Page InfoでEV UIを表示する方が良いと考えています。

2. EV証明書の問題

ブラウザの表示については、これまで様々な問題提起がされ、大きな議論が行われてきました。 これまでの議論は、NTTセキュアプラットフォーム研究所の奥田さんによる「TLSとWebブラウザの表示のいまとこれから ~URLバーの表示はどうなるのか~」 にとても詳しくまとまっています。 興味のある方はこの資料をぜひ見てください。

奥田さんの資料に少し追加しますと、EV証明書の表示に関して少し前に2つ大きなインシデントがありました。

2017年に英国のセキュリティ研究者 James Burton氏が、"Identity Verified"という会社を設立し、正式なEV 証明書を取得しました。 当時AppleSafariではEV証明書のサイトではURLを表示せず組織名だけを表示していたため、 Identity Verified会社のEV証明書を使って以下のようにGoogleアカウントやPayPalのログインページなどを表示することができ、ユ ーザを惑わすことが可能であることを実証しました。

f:id:jovi0608:20190812013221p:plain
Identity VerifiedのEV表示

2018年AppleはiOS12でSafariでのEVの組織表示をやめました。 CABForumのF2F会議の議事録によると、Appleの話では「この変更は、調査と顧客の意見を基に行ったものである。組織名が、ユーザの意図した接続先とドメイン名と同じように結びついているわけではない。」と書いてあります。

2つ目は、米国のセキュリティ研究者 Ian Carroll氏が、米国では州が異なれば同じ会社名の法人が設立できることを使い、デラウェア州にある決済のStripe社と同じ社名のStripe社をケンタッキー州で設立しました。 この会社を使って正式なEV証明書を取得し、同じStripe社を表示する正当なEV証明書によるフィッシングサイトが立ち上げられられることを公表しました。2つを比べるとURLは異なりますが、EV表示だけを見ていると全く同じです。

f:id:jovi0608:20190812013238p:plain
Stripe IncのEV表示

このような事案を受けて、いくつかの認証局が組織するCA Security CouncilでEV/OV証明書によるフィッシングを対策する The London Protocolの策定を2018年に開始しました。しかし現在の進捗状況は不明です。

EV証明書を取得するには、登記簿の提出など組織の実在を証明する厳しい手続きと高い費用が必要です。しかしEV証明書を取得する組織が、法的に問題ない業務を行っているかどうかは認証局チェックの範囲外です。各認証局はEV証明書発行時にフィッシングドメインでないかのチェックを行っています。しかしそれは十分ではなく、コスト面さえ折り合えば、このような攻撃がEV証明書を使って行われる可能性があることが示されたわけです。

このような問題を持つEV証明書に対して、ブラウザのEV組織表示は本当に必要なのでしょうか?

ブラウザのEV組織表示は、本当にユーザのセキュリティに効果があるのでしょうか?

10年以上前にIE7やFirefox3を使った数十名を対象とした小規模な調査で、EV表示は有効でないという結果が公表されていました。現在ではブラウザの環境もUIも当時より大きく変わっています。

今回Googleは、7割近くのトップシェアを持つ Chrome を用いて大規模にフィールド実験を行いました。現在のブラウザUIでEV表示が本当にユーザのセキュリティ行動に対して有効なのか判断するためです。

3. Googleが行ったEV表示のフィールド実験

Googleは、どのようなフィールド実験結果からURLバーからEV表示の削除を結論づけたのでしょうか? 詳細は 8/14 から始まる USENIX Security 19 の「The Web's Identity Crisis: Understanding the Effectiveness of Website Identity Indicators」 で発表される予定です。

すでに公開されている論文から中身を見てみましょう。

Chromeのフィールド実験で、Googleは以下の3つの試験を行いました。

  1. Chromeユーザに対するEV表示/非表示のフィールド実験
  2. 米国・英国ユーザ(1000名程度)に対するEV表示に関するオンラインサーベイ
  3. 米国ユーザ(1000名強)に対するURL表示に関するサーベイ

ここでは、1.のChromeのEV表示/非表示のフィールド実験について主に書きます。

EV表示のフィールド実験は、2019年1月15日から28日にかけてStableチャネル(Chrome 71)で実施されました。

統制群、実験群としてそれぞれ1%のユーザをランダムで割り当て、実験群ではEV表示をしないようにしました。 Chromeのユーザ規模になると1%サンプルでも数百万ユーザのデータになっています。すごい規模です。

Googleは、それぞれのグループに対して以下のメトリックスを取得しました。

  • EV Navigationと時間
  • EV Pageの遷移(タブクローズ、Back/Forward/Reload)
  • ファイルダウンロード
  • Formの送信
  • Autofillによるクレジットカード情報の送信
  • Page Infoの表示とその後の操作
  • サイトエンゲージメント

取得したデータに対してウェルチt検定を行い、結果は以下の表になりました。統制群(Control)はEV表示しているグループ、実験群(Experiment)はEV表示をしないグループです。

f:id:jovi0608:20190812013256p:plain
Chromeのフィールド実験結果1

EV Navigationと時間、EV Pageの遷移、ファイルダウンロード、Formの送信、Autofillによるクレジットカード情報の送信に関しては、統制群・実験群でその割合に大きな違いは見られませんでした。

統制群に対して実験群が統計的有意差(p値 < 0.05)であるものは、「Page Infoを表示する」だけです。 少し意外ですが、EV表示がある方がユーザが頻繁に鍵アイコンをクリックしてPage Infoのポップアップを開けているのです(EVページナビゲーションに対して0.25%対0.02%)。

Page Infoを開けた後の操作にどのような違いがあるのか? EVページナビゲーションで正規化して解析し直したのが次の結果です。

f:id:jovi0608:20190812013318p:plain
Chromeのフィールド実験結果2

Page Info後の操作に対して、それぞれの効果量(Cohen's d)が小さいです。ユーザのPage Info後の操作は、EV表示/非表示で大きく変わらないことがわかりました。

それではどうしてEV表示があるとユーザは、Page Infoをよく開けるのでしょうか?

論文では以下の2つの仮説が挙げられています。

  • EV表示の領域が大きいためユーザが間違ってPage Infoを開けてしまう。
  • ユーザは、EV表示の場合ちゃんと認識してPage Infoを開けている。しかしEV非表示の場合でもセキュリティ行動を変える判断を行うまでに至っていない。

ですが結局よく理由はわからないと締めています。

Googleは、TOP 20のEVサイトに対するデータの解析も行っています。その結果6サイトで統計的有意差が出ましたが、効果量が少ないため自然変異だろうと結論づけています。

以上のフィールド実験の結果から、Page Infoを開ける行動には違いがあるものの、EV表示の有無がナビゲーションやページ遷移、ファイルダウンロード、フォーム送信、クレジットカード情報のAutoFillといったユーザのセキュリティ行動に影響しないことが統計的に示されました。 これは過去の小規模調査結果と合致しています。

他にもGoogleは、1000名を対象としたEV表示のサーベイを実施しています。 組織名が同じで国名が異なるEV証明書が表示された場合やApple SafariのEV表示変更でユーザがどのように判断するかサーベイしました。 どちらもWebページにログインする際、EV表示がユーザに心理的影響を与えないことがわかりました。

ChromeにおけるEV表示の大規模フィールド実験と1000名を対象としたEV表示のサーベイ結果、いずれもEV表示の有効性を示すものではありませんでした。 以上の結果から、ChromeのURLバーからEV表示を外し、Page Infoへ移す方針を決めたわけです。

4. URL表示の限界、その先にあるもの

ChromeのURLバーからEV表示がなくなります。ではブラウザは、このままのURL表示で大丈夫なのでしょうか?

今回の論文では、1000名強のユーザーを対象としてURL表示のバリエーションを変えたサーベイも行っています。しかし、どれもユーザをフィッシングサイトへの アクセスを防止させるような効果はなかったと結論づけています。

2019年1月のUSENIX ENIGMAで、GoogleのEmily Stark氏が The URLephant in the Room というプレゼンを行っています。 そこでは、

URLは、効果的なセキュリティ・インディケータではない。
- 人々はURLに気づいていない。
- 人々はURLを理解していない。
- (国際化ドメイン名など)人々がURL(の違い)を理解することが不可能な場合もある。

と述べています。一方で、直ちにURLに替わる画期的で有効な方法といった銀の弾丸は存在せず、まずURL表示を正しくするようにして長期間かけてUIを改善していく必要がある、アイデアやフィードバックが欲しいと訴えています。

Googleは、URLに替わる代替案を本当に考えていないのでしょうか?

あるChromeのバグチケットにこんなコメントがありました。

f:id:jovi0608:20190812015057p:plain

 Our long-term hope is to eventually de-emphasize URLs (Google-internal link: ...)
 我々の長期的な展望は、実質的にURLを強調させないことである(Google内部リンク: ...)

資料がGoogle内部リンクになっているため「実質的にURLを強調させないこと」が具体的に何を指しているのかわかりません。

GoogleがURL表示に替わってChromeの表示をどう変えていくのか、今後も注視していきたいと思います。