Chromeはなぜ危険なサイトだと分かるの?

当ページのリンクには広告が含まれています。
Google Chromeで危険なサイトと判定された際に表示される警告画面と、「Chromeはなぜ危険なサイトだとわかるのか」をテーマにセーフブラウジングの仕組みを解説するアイキャッチ画像。

Googleが日々更新している「危険なサイトのリスト」とリアルタイムで照らし合わせたうえでAIによる分析まで行っているから

正体は「セーフブラウジング」というGoogleの仕組み

Chromeが危険なサイトを判定しているベースになっているのが「セーフブラウジング(Safe Browsing)」です。

セーフブラウジングはウェブをクロールして分析し、フィッシングサイト・マルウェア配布サイト・不正な拡張機能・望ましくないソフトウェアなど、危険性のあるサイトのリストを継続的に作成しています。これはChrome専用というワケではなくFirefoxやAndroidアプリのダウンロード審査、Gmail内のリンクチェックなどさまざまなサービスで横断的に使われている点も特徴です。

Safe BrowsingはChromeだけでなくAndroidのアプリ内ブラウザやOSのセキュリティ強化にも関係しています。Android各バージョンの変更点はこちらで整理しています。

ユーザーがサイトにアクセスしたりファイルをダウンロードしようとしたりするたびにChromeは自分が設定している保護レベルに応じてこのリストと照合し、該当すれば赤い警告画面を表示するという流れです。

参照: Chromeのセーフブラウジングの保護レベルについて

「標準保護」と「保護強化機能」で判定の細かさが違う

Chromeのセーフ ブラウジングには大きく3つの保護レベルがあります。

保護レベル判定の仕組みGoogleへの情報送信特徴
標準保護(デフォルト)クラウド上の危険サイトリストと照合通常は送信なし。不審な操作があった場合のみURLとページの一部を送信既知の危険にリアルタイムで対応
保護強化機能リスト照合に加えAIによる分析も実施閲覧データを継続的に送信まだ知られていない危険にも先回りして対応
保護なし(非推奨)照合そのものを行わないなし警告が一切出ない

「標準保護機能」はデフォルトでオンになっていて、すでに危険と分かっているサイトのリストと照合して警告を出す仕組みです。以前はこのリストを一定間隔(30〜60分ごと)で端末にダウンロードする方式が使われていて多少のタイムラグがありましたが、アップデートによりサーバー上のリストとほぼリアルタイムで照合する方式に切り替わり精度が上がっています。暗号化やハッシュ化の技術も使われていて、Google側にどのサイトを見ているか筒抜けにならないよう配慮されているのもポイントです。

「保護強化機能」は閲覧しようとしているURLをその都度Googleに送って最新の危険サイト情報と照合するため、まだリストに載っていない生まれたてのフィッシングサイトのような「初めて見る危険」にも強いという違いがあります。その分ブラウジングデータをGoogleに渡すことになるので、プライバシーとのトレードオフですね。

参照: 安全でないサイトについての警告表示を設定する

2025年からはAI(Gemini Nano)も判定に参加している

ここ数年で大きく進化したのがAIによる判定です。2025年5月、Googleはデスクトップ版Chromeの「保護強化機能」に端末上で動作する軽量AIモデル「Gemini Nano」を組み込んだと発表しました。

このAIはページの内容や意図(どのブランドを名乗っているか、何をさせようとしているかなど)をその場で解析できるため、まだリストに登録されていない新種の詐欺サイトも見つけやすくなります。Googleによれば保護強化機能は標準保護機能に比べてフィッシング詐欺などから最大2倍安全に守れるとのことです。

同じような仕組みは危険サイトの判定だけでなく迷惑なプッシュ通知の検出にも使われていて、Android版Chromeでは1日あたり約30億件もの不審な通知が判定・削除されているそうです。危険サイト判定のAI化は今後も進んでいく方向性と見てよさそうです。

参考: Googleは検索・Chrome・Androidで詐欺対策にAIを活用(GIGAZINE)

Googleのセキュリティ対策はChromeだけでなくAndroidでも継続的に強化されています。Android 17のセキュリティ・プライバシー変更はこちらで確認できます。

鍵マークの「保護されていない通信」とは別の仕組み

ここで注意したいのが、アドレスバーの鍵マークや「保護されていない通信」という表示はセーフ ブラウジングとは別の仕組みだという点です。

鍵マーク周りの表示はサイトとの通信がHTTPSで暗号化されているかどうかを示しているだけです。暗号化されていても中身がフィッシングサイトである可能性はゼロではありません。逆にセーフ ブラウジングで危険と判定されたサイトは、暗号化の有無に関わらず赤い警告画面が表示されます。

つまり「鍵マークが付いているから安全」というわけではなく、あくまで通信経路が守られているかどうかの話という切り分けをしておくと理解しやすいです。

参照: サイトの接続が安全かどうかを確認する

見た目そっくりなURLも見破ってくれる

もう一つ地味に賢いのが、既知の危険サイトリストに載っていなくてもよく使う安全なサイトのURLに似せた紛らわしいURLだった場合に警告してくれる機能です。

Chromeは閲覧履歴に記録されているURLといまアクセスしようとしているURLを比較して、スペルミスを狙った偽サイトのような「少しだけ違うURL」を検出する仕組みを持っています。これはセーフ ブラウジングのリスト照合とは別の、経験則ベースの判定です。

参照: 安全でないサイトについての警告表示を設定する

自分の保護レベルを確認する方法

普段どちらの保護レベルで使っているか、意外と確認したことがない人も多いはずです。筆者もそうでしたね

以下の手順ですぐ見られます。

Step
セキュリティ設定を開く

Chromeのアドレスバーに次のように入力してEnterを押します。

アドレスバーに入力
chrome://settings/security
Step
セーフブラウジングの項目を確認

「セーフ ブラウジング」の項目で「保護強化機能」「標準保護機能」「保護なし」のどれが選ばれているか確認します。

Google Chromeの設定画面で「プライバシーとセキュリティ」→「セキュリティ」を開き、「保護強化機能」「標準保護機能」「保護なし」のセーフブラウジング保護レベルを選択できる画面のスクリーンショット。
Chromeのセーフブラウジングでは用途に応じて保護レベルを選択できます。
Step
必要に応じて設定を変更する

よりしっかり守りたい場合は「保護強化機能」を選びます。閲覧データをGoogleに送る前提の機能なので、そこは納得したうえで選ぶのがおすすめです。

ただ、セーフブラウジングを完全にオフにする「保護なし」は危険なサイトやダウンロードの警告が一切出なくなるためおすすめしません。

Chromeの警告は完璧ではなく、Googleがまだ把握していない危険サイトをすり抜けてしまうこともあります。それでも複数の仕組みが重なって守ってくれているというのは知っておいて損はない話という感じです。


QRコードやAI、メールなど、身近なITの「なぜ?」を仕組みから知りたい方はIT雑学・ぷちQAの記事一覧もあわせてご覧ください。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!