安全でないコンテンツが Android のセキュリティに及ぼす影響

リビジョン情報
  • リビジョン ID: 109856
  • 作成日:
  • 作成者: dskmori
  • コメント: update for m42.
  • 査読日: はい
  • 査読日:
  • 査読者: dskmori
  • 承認済み はい
  • 現在のリビジョン? いいえ
  • 翻訳準備中: いいえ
リビジョンのソース
リビジョンの内容

アドレスバーに盾のアイコンが表示された時は、Android 版 Firefox が訪れたページ上の安全でないコンテンツをブロックしています。この記事では、この動作の意味とオプションについて説明します。

mixed content on android

HTTP は、ウェブサーバーからブラウザーへ情報を転送するシステムです。HTTP は安全ではなく、HTTP プロトコルで配信されているページを訪れた場合、そのサイトとの接続は盗聴や 攻撃 に対して開放されています。ほとんどのウェブサイトは、HTTP 経由で配信されていますが、取り扱いに注意が必要な情報を渡したり扱ったりすることがないため、安全な接続をする必要がありません。

銀行のサイトなど、ページ全体が HTTPS プロトコルで配信されているウェブサイトを訪れた場合、アドレスバーに 緑色の錠前Fx57GreenPadlock錠前 Fx70GreyPadlock アイコンが表示されます (詳しくは、ウェブサイトへの接続が安全か確認するには をご覧ください)。そのサイトとの接続は、認証を受けて暗号化されているため、盗聴と中間者攻撃の両方から守られています。

しかしながら、訪れた HTTPS のページに HTTP で配信されたコンテンツが含まれている場合、メインのページが HTTPS で配信されていても、それに含まれる HTTP のコンテンツは攻撃者に読まれたり変更されたりする恐れがあります。私たちは、HTTPS のページに含まれる HTTP で配信されたコンテンツを「混在コンテンツ」(mixed content) と呼びます。訪れたページの一部分だけが暗号化されていると安全な接続であるように表示されますが、実際はそうではありません。混在コンテンツ (アクティブおよびパッシブ) についての詳しい情報は、こちらのブログ記事 をご覧ください。

混在コンテンツにはどんな危険性がありますか? 攻撃者は、あなたが訪れたページ上の HTTP コンテンツを置き換えることができるため、あなたの信頼情報を無断で借用したり、アカウントを乗っ取ったり、あなたの個人情報を入手したり、ページのコンテンツを変更したり、あなたのコンピューターにマルウェアのインストールを試みたりすることができます。

防護するための選択肢は?

ほとんどの Web サイトは、あなたが何もしなくても通常の動作を続けます。

混在コンテンツの表示を許可する必要があるときは、簡単に許可できます:

  1. アドレスバー内の 盾アイコン Mixed Content Shield をタップすると、ドロップダウンメニューが表示されます。
  2. 保護を無効化 をタップしてください。
    Disable mixed content Android
    • アドレスバーの盾アイコンに斜線が表示され、安全でないコンテンツが表示されていることを知らせます。
android insecure not 42

この操作を元に戻す (混在コンテンツを再びブロックする) には、ページを新しい新規 タブに再び開いてください。

Firefox は、ページ上の自動的に潜在的に有害で安全でないコンテンツをブロックすることで攻撃からユーザを保護します。Firefox は、灰色の警告アイコンまたは、斜線の入った錠前アイコンを表示して混在コンテンツがページ上に読み込まれていることを示します。

HTTP は、ウェブサーバーからブラウザーへ情報を転送するシステムです。HTTP は安全ではなく、HTTP プロトコルで配信されているページを訪れた場合、そのサイトとの接続は盗聴や 攻撃 に対して開放されています。ほとんどのウェブサイトは、HTTP 経由で配信されていますが、取り扱いに注意が必要な情報を渡したり扱ったりすることがないため、安全な接続をする必要がありません。

銀行のサイトなど、ページ全体が HTTPS プロトコルで配信されているウェブサイトを訪れた場合、アドレスバーに 緑色の錠前Fx57GreenPadlock錠前 Fx70GreyPadlock アイコンが表示されます (詳しくは、ウェブサイトへの接続が安全か確認するには をご覧ください)。そのサイトとの接続は、認証を受けて暗号化されているため、盗聴と中間者攻撃の両方から守られています。

しかしながら、訪れた HTTPS のページに HTTP で配信されたコンテンツが含まれている場合、メインのページが HTTPS で配信されていても、それに含まれる HTTP のコンテンツは攻撃者に読まれたり変更されたりする恐れがあります。私たちは、HTTPS のページに含まれる HTTP で配信されたコンテンツを「混在コンテンツ」(mixed content) と呼びます。訪れたページの一部分だけが暗号化されていると安全な接続であるように表示されますが、実際はそうではありません。混在コンテンツ (アクティブおよびパッシブ) についての詳しい情報は、こちらのブログ記事 をご覧ください。

混在コンテンツにはどんな危険性がありますか? 攻撃者は、あなたが訪れたページ上の HTTP コンテンツを置き換えることができるため、あなたの信頼情報を無断で借用したり、アカウントを乗っ取ったり、あなたの個人情報を入手したり、ページのコンテンツを変更したり、あなたのコンピューターにマルウェアのインストールを試みたりすることができます。

ページに混在コンテンツがあるか知るには?

アドレスバーに緑色の錠前アイコンが表示されている場合、そのページは安全です。ページに安全でない要素がある場合、Firefox は、そのページを安全に維持するためにそれらの要素をブロックします。アイコンをタップしてセキュリティについての詳しい情報を表示し、安全でない要素をブロックしたかどうかを確認してください。

tap lock icon 42 android

安全でないパッシブコンテンツが存在し、ページにそのコンテンツを読み込んでいると、Firefox は灰色の警告アイコンを表示します。このアイコンが表示される場合、攻撃者はそのページの一部を操作し、例えば、不適切なコンテンツを表示できるかもしれません。しかし、そのサイトから個人情報は盗まれないでしょう。

warning triangle 42 android

錠前アイコンに赤い斜線が表示されている場合、Firefox は、安全でない要素をブロックしておらず、盗聴や攻撃にたいしてオープンで攻撃者はそのサイトから個人情報を盗めるでしょう。次のセクションの手順を使用して混在コンテンツのブロックを解除しない限り、このアイコンは表示されません。

mixed content off 42 android

上級者向け: 混在コンテンツのブロックを解除する

混在コンテンツのブロックを開錠する必要がある場合、about:config の設定を変更することで行えます。この設定は、訪問するすべてのページに影響します:

  1. about:config を開きます。
  2. security.mixed_content.block_active_content の設定を false に変更すると、HTTP コンテンツのブロックを解除できます。
  3. Firefox が、潜在的に有害な安全でないコンテンツをブロックしない場合、錠前アイコンに赤い斜線が表示されます:
    mixed content off 42 android
警告: 混在コンテンツのブロックを解除すると、攻撃者に対して無防備な状態になります。
開発者向け: あなたの Web サイトで、安全でないコンテンツが原因でセキュリティエラーが発生する場合は、こちらの MDN の記事をご覧ください: How to fix a website with mixed content