• このエントリーをはてなブックマークに追加

2020年2月、Chromeが混合コンテンツをブロック!対策が必要なサイトとは

Googleは2019年10月、Chromeにおいてサイト内の混合コンテンツを段階的にブロックすると発表しました。
Chromeのセキュリティを担保し、安全性を高めるのがその目的です。httpコンテンツをハッカーや悪意ある第三者の入り口として利用させないために、デフォルトでブロックし、そのコンテンツがあった部分は「no image」に置き換えられる予定です。
今後、混合コンテンツが含まれるサイトでは、該当する動画などがブロック(非表示)された状態で閲覧されるため、これによってユーザー離れや検索順位のダウンも懸念されます。

2020年2月にはすでにhttpの音声・動画コンテンツがブロック対象となるため、対策は急務。今すぐの対策が必要とされます。

この記事では、そもそも混合コンテンツとは何なのか?という疑問からひもとき、

  • Chromeによる混合コンテンツのブロックはどのように実施されるか
  • 混合コンテンツがブロックされた場合のデメリット
  • 自サイトにある混合コンテンツをチェックする方法

についてご紹介します。

目次:

無料メルマガ登録はこちら:最新のデジタルシフト事例やノウハウを毎週お届け

httpsとhttp:混合コンテンツを理解するための基礎知識

混合コンテンツは、ミックスドコンテンツ(Mixed Content)ともいい、具体的にはhttpsの中に含まれているhttpコンテンツのことをさします。
つまり、https〜のURL内に、動画や映像の形で「httpコンテンツ」が含まれている状態を混合コンテンツといいます。
httpsとhttpの違いについては、以下を参考にしてください。

httpsのsは「secure」のs

httpsは、暗号化された通信形式で、「s」は「安全な」という意味の「secure」からきています。
httpsに対応することを「SSL化」といい、SSL化することで、悪意ある第三者によってデータを改ざんされたり抜かれたりしないようにすることができました。
ちなみにSSLはSecure Socket Layerというプロトコルの略称ですが、現在実際にhttpsで使われているのは主にTLS(Transport Layer Security)というプロトコルです。

httpは暗号化されていない

sのつかないhttpのサイトは、暗号化がされていません。そのため、入力した個人情報が悪用される、サイトにウィルスを仕込まれるといったリスクが生じる可能性があります。

httpsの中のhttpはセキュリティ上のリスクとなる

サイトがSSL化されていても、そこに挿入されている動画や画像がhttpだと、そこはセキュリティ上の落とし穴、弱点に。httpの動画や画像が読み込まれたコンテンツは暗号化されていないため、そこを入り口としてサイトに侵入され荒らされたりウィルスを仕込まれたりする恐れがあります。
ゆえに、Chromeはインターネット上のセキュリティを守るため、混合コンテンツの段階的なブロックを実施するのです。

Chromeによる混合コンテンツのブロック実施時期

Chromeは、2019年12月から2020年まで、3つの段階に分けて段階的なブロックを実施します。

2019年12月「Chrome79」

昨年12月にリリースされたChrome79では、混合コンテンツのブロックをサイト単位で解除可能なオプションが実装されました。
この段階ではまだ、閲覧者が許可すればブロックされたhttpコンテンツも読み込める状態です。

2020年2月「Chrome80」

2020年2月にリリースされる「Chrome80」では、画像の混合コンテンツのみが読み込み可能です。
音声と動画の混合コンテンツは自動的にhttpsに変換されて読み込まれ、それができない場合はブロックされて非表示になってしまいます。
また、画像の混合コンテンツについても、アドレスバーの先頭に「保護されていない通信」と表示されます。

2020年3月「Chrome81」

2020年3月にリリースが予定されている「Chrome81」では、画像の混合コンテンツも、「chrome80」の音声・動画の混合コンテンツと同様、自動的にhttpsに変換されて読み込まれます。それができないコンテンツは、ブロックされて非表示になると現段階では発表されています。

音声・動画・画像の中でもっとも多くのサイトで使われているのは画像でしょう。画像のブロックが最終段階で実施予定とされているのは、それが与える影響の大きさを考慮したためと考えられます。

Chromeの施策によってどれくらいの影響が出るのか

Webブラウザの国内シェアは、2020年1月時点で以下のようになっています。

Chrome 78.0……23.75%(第1位)
Chrome 79.0……19.79%(第2位)
IE11.0……………11.79%(第3位)

以下、第4位にEdge18、第5位にChrome for Androidが続いています。
Chrome78と79の割合を合算すると約43%ものユーザーがChromeをブラウザとして活用していることになります。

ちなみに、世界的のWebブラウザシェアは2019年12月現在で、次の通り。

Chrome 78.0……31.84%(第1位)
Chrome 79.0……26.17%(第2位)
Firefox71.0……… 5.52%(第3位)

半数以上がChromeをブラウザとして使っているという結果が出ています。
こうした結果から、多くのサイト閲覧者がChromeをブラウザとして使っている実態が浮かび上がってきます。
混合コンテンツを整理するなど、Chromeの段階的ブロックについて適切な対策を講じなければなりません。

参照:webrage「WebブラウザシェアランキングTOP10(日本国内・世界)」

Webブラウザシェアランキング(2020年01月):日本国内 https://webrage.jp/techblog/pc_browser_share/

SEOにも影響!混合コンテンツのデメリット

2020年2月以降、https内のhttpコンテンツは段階的にブロック(非表示)となります。
サイト内のhttpコンテンツは「no image」という表示に置き換えられるため、サイトの見た目が著しく損なわれてしまいます。「動画をチェック!」と記載されているのにその動画が「no image」で読み込まれていなかったり、大きくスペースを確保している画像コンテンツが「no image」だったりしたら、閲覧者の印象は悪くなるでしょう。

そうした目に見える変化よりもっと恐ろしいのが、ユーザーの離脱や検索順位の下落です。
混合コンテンツの含まれるサイトは、いわば「安全ではないサイトですよ」と宣伝しているようなもの。世界の動向がhttpsへ向かえば、安全ではないサイトを好き好んで訪れるユーザーは確実に減るでしょう。そのため、人気のサイトであっても訪問者が少なくなり、ユーザーが離れてしまうリスクが高まります。

このように書くと、サイト自体をhttpのまま保持すれば混合コンテンツと認識されないのでは?と考える人もいるかもしれません。
しかし、GoogleはSSL化していないサイト、つまりhttpのアドレスをもつサイトの検索順位を低下させることも明言しています。これは閲覧者の安全性を考慮していないセキュリティ意識の低いサイトとみなされるためです。となると、SEO対策の一貫としても混合コンテンツの修正は重要といえるでしょう。

これらのデメリットを考えれば、サイト運営における最善の道はSSL化(https)、混合コンテンツの修正しかありません。混合コンテンツの影響がで始めるのは2020年2月のため、対策は待ったなしの状況といえます。

WordPressを使ってサイトを構築している場合は、混合コンテンツを修正する専用のプラグインを使って、httpコンテンツを自動置換することも可能です。
しかし、プラグインの中にはバージョンとの互換性によって思わぬ不具合を招くものもあるので、バックアップをとってからおこなう、分からない場合は混合コンテンツの修正についてコンサルタントに相談するなどしましょう。

自サイトに混合コンテンツがあるかどうかを調べるには

段階的なブロック時期はすぐそこまできています。対策のためにまずは、音声・動画・画像データを挿入しているサイトの一体どこにhttpコンテンツが含まれているのかをチェックしましょう。
混合コンテンツを含有しているのかどうかを調べる方法と、それがどこにあるのかを探す方法を、順番にご紹介します。

アドレスバーで混合コンテンツの有無をチェック

自社サイトに混合コンテンツがあるのかどうかを知るには、アドレスバーを見れば一目瞭然です。
混合コンテンツが一切ないサイトは、アドレスバーの左端にグリーンの錠マークが表示されます。
混合コンテンツが含まれるサイトには、錠マークはつきません。そのため、まずは自サイトに錠マークが付与されているかどうかを確認しましょう。
なお、SSL化されていないサイトは、錠マークが表示されず「保護されていない通信」などの表示が出ます。

Chrome検証機能で混合コンテンツの場所をチェック

混合コンテンツがあると分かったら、今度はサイト内のどこにあるのかを特定しましょう。
チェックするためには、Chromeの検証機能(デベロッパーツール)を使います。ツールでの確認方法は次の4つのステップです。

1. 自社サイトを出して右クリック

自社サイトをブラウザで開き、右クリックします。
右クリックできない場合は、「control」ボタンを押しながらクリックすると、画面上にメニューバーがあらわれます。

もしくは、「F12」キーを使う、「command」+「option」+「I」を同時に押す、という方法で一気にステップ3(デベロッパーツール立ち上げ)へ進むことも可能です。

2. メニューバーから「検証」をクリック

メニューバーの下の方に「検証」というボタンがあるのでクリックします。
すると、画面が左右セパレートに切り替わります。左側が先ほどから開いていた自社サイト、右側にデベロッパーツールが開くはずです。

3.上部にあるメニューから「Console」を選んでクリック

デベロッパーツールの上部には「Elements」、「Console」、「Sources」、「Network」といったメニューが並んでいます。この中から「Console」を選んでクリックしてください。

4. 警告メッセージ「Mixed Content」を探す

「Console」をクリックしたら、警告メッセージの中から「mixed-content」と書かれたものがないか探しましょう。
それが混合コンテンツの場所を示しています。

「Mixed Content」の箇所をhttpsに修正する

「Console」で示された箇所のコンテンツは、httpsの中にあるhttpコンテンツです。これをhttpsに修正すれば混合コンテンツと判断されなくなり、今までと同様にサイトが表示されるようになります。

なお、Google開発者のブログでも、混合コンテンツについて対処法を発信しています。ここでも、冒頭に「SSL化しているサイトでも混合コンテンツがあればSSLの保護は無意味になる」という意味の文言があります。

・参照「混合コンテンツの防止」
https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content?hl=ja

さいごに

混合コンテンツのあるサイトをそのままにしておくことは、ユーザーの離脱や検索順位ダウンといった結果を招きます。SSL化されていないサイトはあまり信頼できないサイトとみなされ、SEOの観点からも大打撃を被ると見て間違いありません。
Googleはこれらと並行して、広告と密接な関係にあったサードパーティCookieの提供を廃止する決定を下すなど、インターネットのセキュリティ強化、ユーザー保護に注力しています。

変化し続けるネットのあり方から逸脱してしまわないよう、常に世界の動向をチェックしておく必要があるかもしれません。

関連記事

アーカイブ

ページ上部へ戻る