Google従業員が「信頼できる第三者」による認証でBotや改造ブラウザを排除して「健全なインターネット」を作るべく新たなウェブ標準「Web Environment Integrity」を提案

BotによるSNSの操作やアカウントの一括作成を検知したり、ブラウザを改造してウェブベースのゲームでチートを行う行為を検知するための新たなウェブ標準「Web Environment Integrity」がGoogleの従業員4人によって提案されています。

Web Environment Integrity Explainer
https://github.com/RupertBenWiser/Web-Environment-Integrity/blob/main/explainer.md

このWeb Environment IntegrityプロジェクトはAppleのApp AttestやGoogle PlayのPlay Integrity APIなど既存の認証システムからインスピレーションを受けているとのこと。例えばAndroid端末では、ユーザーが端末を完全に制御できるようにする「ルート化」という仕組みが存在していますが、Play Integrity APIを利用すると、端末がルート化されているかどうかをアプリが判別でき、銀行アプリやオンラインゲームアプリなどがこのAPIを利用してルート化された端末での起動を拒否するようになっています。

Web Environment Integrityがウェブの世界に導入された場合、Play Integrity APIと同様に「信頼できないソースからのトラフィック」が遮断される可能性は高そうです。一応、プロジェクトの目標として下記の4点が述べられており、4番目で「認証の有無でブロックされないようにする」ということになっています。

1：ウェブサーバーがアクセスしてきた端末の信頼性や、搭載しているソフトウェアやトラフィックの真実性を確認できるようにする
2：頑丈な構成で長期的に持続可能な不正行為を防止する仕組みを提供する
3：新たにサイト間でユーザーを追跡する仕組みにはしない
4：認証の有無でウェブサイトにブロックされることがないようにする

とはいえ、Web Environment Integrityを導入するようなウェブサイトは不正なアクセスを遮断したいわけなので、どのように4番の目標を実現するのかは難しいところです。広告ブロッカーのAdGuardは、「広告ブロックなどGoogleの気に入らないアプリをシャットアウトすることでウェブの世界を閉じたものにしようとしている」と批判するブログ記事を投稿しました。記事作成時点では、Web Environment Integrityに「認証に成功したトラフィックのうちの数％に関して認証が成功していないかのような結果を返すことで、サイトが認証の有無でブロックする設定だった場合に問題が多発するようにする」という仕組みを導入することが提案されています。

Web Environment Integrityの仕組みは下図の通りで、赤枠部分の「認証API」を提供するのは「信頼できる第三者」とされていますが、「一般的な言葉で説明しているものの、実際にはGoogle Chromeを通してGoogleの認証サーバーを使うことになるだろう」とニュースサイトのArs Technicaは述べています。

Web Environment Integrity(WEI)の提案者の一人がHacker Newsのコメント欄で「WEIはDRMではなく、コンテンツを差し止めることはない」と主張していますが、そのコメントに対する返信で「Chromeの使用を強制するサイトがある場合、今はユーザーエージェントを偽装するだけで利用できるものの、WEIが導入されると偽装ができなくなってブロックされる」という例が挙げられていたり、別の返信では「WEIを利用すると特定の構成のデバイスでしかサイトを閲覧できなくすることが可能で、それは100%DRMと言える」とツッコミが入ったりしています。

2023年7月時点ではWeb Environment Integrityはまだ提案の段階ですが、すでに5月にプロトタイプ作成の意向が示されており、作業が進行している模様です。なお、このAPIに関する作業の進行度合いはChrome Platform Status上で確認可能となっています。