Googleは2025年10月28日、Chromeの既定設定として「Always Use Secure Connections(常に安全な接続を使用)」を有効化すると発表しました。2026年10月リリース予定のChrome 154から、公開サイト(パブリックサイト)に対する初回のHTTPアクセス時にユーザーへ警告と許可確認を行うようになります。これにより、HTTPS非対応の公開サイトへの不意の遷移を抑止し、ナビゲーション乗っ取りやマルウェア配布などのリスク低減を図ります。
何が変わるのか
新しい既定では、ChromeがまずHTTPSで接続を試み、HTTPSが利用できない公開サイトに初めてアクセスする際にバイパス可能な警告を表示します。
なお、プライベートサイト(例:192.168.x.x、単一ラベルのホスト名、社内短縮URLなど)へのHTTPアクセスは警告対象外としています。また、頻繁に訪れる特定のHTTPサイトについては繰り返し警告しない挙動となり、ユーザー体験への影響を抑えます。
スケジュール
-
2026年4月(Chrome 147):強化版セーフブラウジング(Enhanced Safe Browsing)を有効化している10億人超のユーザーに対し、公開サイト限定の「Always Use Secure Connections」を先行既定化。
-
2026年10月(Chrome 154):全ユーザーで公開サイト限定の「Always Use Secure Connections」を既定化。
-
ユーザーは設定から本機能を無効化することも可能です(
chrome://settings/security)。
なぜ今なのか
GoogleのHTTPS透明性レポートによれば、Chromeのメインフレーム読み込みにおけるHTTPS比率は2015年の30〜45%から2020年頃には95〜99%へと急伸し、その後横ばいが続いています。
高い普及率にもかかわらず、「わずかなHTTP遷移」でも攻撃者の足掛かりになり得るうえ、実際にはHTTP→HTTPSへの自動リダイレクトが多く、ユーザーは危険な平文接続を警告なしに通過してしまう場合があります。今回の既定化は、こうした残存リスクへの実効的な対策です。
警告頻度とユーザー影響
Chrome 141での実験では、中央値で週1回未満、95パーセンタイルでも週3回未満という警告頻度にとどまりました。公開サイトのみを対象にし、同一サイトに対する過剰な再警告を抑えるロジックを組み合わせることで、安全性とUXを図っています。
関連記事
Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
DDoS攻撃とは?攻撃事例や防御策を解説
最大600万ユーザーに影響か-Chrome 拡張機能に潜むユーザートラッキングコード
Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見
WordPress向け人気フォームプラグイン「GravityForms」にマルウェアが混入-サプライチェーン攻撃の可能性
Microsoft Teamsのゲストチャットの不具合で、ユーザーが気づかずにサイバー攻撃の脅威に晒される
Ivanti、Endpoint Managerの脆弱性を含む複数の脆弱性を修正(CVE-2025-9712,CVE-2025-9872)
Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)
