Googleは、Gmailのセキュリティを向上させるために、Cross-Origin Opener Policy(COOP)を導入することを発表しました。
これにより、Gmailページを開く、または操作するウェブサイトやブラウザー拡張機能の開発者は、引き続き機能を維持できるようにコードを更新する必要がある場合があります。
この強制指針は、2026年1月20日から開始されますが、Google Workspaceの管理者やエンドユーザーによる特別な対応は必要ありません。
XS-Search攻撃とは?
Cross-Site Search(XS-Search)は、Gmailのようなクエリベースの検索システムを狙うクロスサイトリーク(XS-Leaks)攻撃の一種です。
攻撃者は、Gmailのウィンドウにアクセスを得ることで、特定の検索結果が存在するかどうかを繰り返し検索することで知ることができ、これがユーザーの敏感な情報漏洩につながります。
COOPがもたらす保護効果
COOPは、信頼できないオリジンからウェブアプリケーションを隔離することを目的としたウェブセキュリティ機能です。
これにより、攻撃者がGmailのウィンドウハンドルにアクセスすることができなくなり、XS-Search攻撃やキャッシュプロービングのような、タイミングや他の観察結果に依存する攻撃を大幅に防ぐことができます。
影響を受けるのは誰?
Gmailをポップアップウィンドウで開き、そのウィンドウのプロパティ(閉じる、位置、長さ、フォーカス)へアクセスしたり、機能を呼び出すウェブサイトやブラウザー拡張機能が影響を受けます。
また、Gmailページに注入されたブラウザー拡張機能が、ウィンドウのオープナー(Gmailページを開いた元のウィンドウ参照)ハンドルにアクセスする場合も該当します。
開発者へのガイドライン
Gmailを開くウェブサイトやブラウザー拡張機能の開発者は、ウィンドウプロパティやウィンドウハンドルの関数にアクセスするコードを避け、代わりにchrome.tabsやMessagingといった代替APIを使用することで目的の機能を実現することが推奨されます。
詳しくは参照元サイトにてご確認ください。
