4月3日にGoogleからブラウザ『Google Chrome 80』におけるSameSite Cookieの仕様を一時的にロールバックするというリリースがありました。SameSite Cookieのおさらいとともにリリースの内容を確認します。

関連リンク：Temporarily rolling back SameSite Cookie Changes

こちらもオススメ

• Cookieの動作をコントロールする「SameSite Cookie」
• 2022年を目処にGoogle Chromeがクッキーデータの利用を規制へ！ Apple Safari、Mozilla Firefoxに続く
• Appleユーザ必読！サファリの新機能ITPでcookieの動作が変わる

SameSite Cookieとは？

SameSite Cookieとは、Cookieの送信を制御するSameSite属性の仕様を指します。SameSite属性の目的は、「現在のドメイン」から「遷移先ドメイン」へCookieが送信されるのを制御することです。ドメインをまたぐリクエストに対してCookieを自動付与しないようにすることで、安全性の向上につなげていきます。SameSite Cookieを利用すると、予期せぬ形で情報が漏えいしてしまう危険性を軽減することができます。

前回の記事：Cookieの動作をコントロールする「SameSite Cookie」

SameSite Cookieの影響

Google Chrome 80よりSameSite属性の規定値がNoneからLaxに変更され、Cookieの取り扱いが厳格化されています。SameSite属性を明示的に指定していないWebサイトではログイン情報の引き渡しができなくなる等、様々な影響が考えられます。

影響を受けるサービス例

• ECサイト：決済時にCookieを使ってログイン情報を複数ドメインで受け渡しするWebサイト
• Webサイト分析ツール：複数ドメインのCookie情報を利用して分析・可視化するクラウドサービス
• ターゲティング広告：Cookie情報を利用して、ターゲットユーザに広告を配信するサービス

ロールバックの内容

今回のリリースは、Google Chrome 80から実施しているSameSite属性の仕様変更を一時的にロールバックするものです。仕様変更の理由は、日本だけでなく世界中で感染が拡大している新型コロナウイルス感染症の影響を考慮し、日常生活に不可欠なオンラインサービスを利用する際の不具合をなるべく発生させないためです。このロールバックにより、従来通りWebサービスを利用できるだけでなく、SameSite属性をまだ考慮していないWebサイト運営者にとっても時間の猶予ができることになりました。

将来的には本来の仕様に戻る

今回一時的にSameSite Cookieの仕様がロールバックされることになりましたが、セキュリティ強化を目的とした仕様変更のため、将来的には本来の仕様に戻ると思われます。自社Webサイトで、Cookieを利用しているかしていないか、利用している場合SameSite属性を設定しているかを再確認し、対応が遅れないように取り組んでいきましょう。

こちらもオススメ

• Cookieの動作をコントロールする「SameSite Cookie」
• 2022年を目処にGoogle Chromeがクッキーデータの利用を規制へ！ Apple Safari、Mozilla Firefoxに続く
• Appleユーザ必読！サファリの新機能ITPでcookieの動作が変わる