🌐 This article hasn't been translated yet — showing the Japanese version.
TECH TREND Importance Medium 2026-07-11

Chromeが「確認メール」を廃止へ — Email Verification Protocol の仕組みと集中リスク

⏱ approx. 2 min views 9 likes 0 LOG_DATE:2026-07-11
TOC

Chromeブラウザで「Email Verification Protocol(EVP)」の試験的な提供が始まった。ウェブサービス登録時に避けられなかった「確認メールのリンクをクリック」というステップを、ブラウザとメールプロバイダの直接通信で代替する新しい仕組みだ。現在はオリジントライアルとして提供中で、Gmailがすでに参加している。

仕組み:ブラウザが代わりに証明する #

ユーザーがオートフィルでメールアドレスをフォームに入力すると、ChromeはそのドメインのDNSレコードを参照してEVPエンドポイントを探す。ユーザーがそのプロバイダにログイン済みであれば、サイトのオリジンを含む署名付き「Email Verification Token」が発行され、ウェブサービス側はトークンを検証するだけで所有権確認が完了する。ユーザー操作はゼロ。プロバイダに伝わるのは「このアドレスのユーザーが存在するか」という問い合わせのみで、どのサイトを訪問しているかは伝わらない設計になっている。

DNS 解決
Chromeがドメインに対応するEVPエンドポイントを探す
ログイン確認
プロバイダがユーザーの認証済み状態を確認
トークン発行
サイトのオリジンを含む署名付きトークンをブラウザへ返す
即時検証
ウェブサービスがトークンを検証し確認完了 — 確認メール送信なし

フィッシング排除と集中リスク #

「確認メールを装い偽URLをクリックさせる」フィッシングは、確認メールそのものがなくなれば根本から成立しなくなる。帯域外認証(OOB)フローに潜む構造的弱点をプロトコル設計で解消するアプローチは、セキュリティ改善として理にかなっている。

一方で死角もある。現時点でEVPに参加しているのはGmailのみで、独自ドメインや非対応プロバイダのユーザーは旧来フローに頼ることになる。普及が進むほど「EVP対応プロバイダでないと登録完了が面倒」という圧力が強まり、事実上Gmailへの集中を後押しする構造になる。手入力アドレスへの対応も未実装で、大量の「ユーザー存在確認」問い合わせがプロバイダに集まることによる新たな情報収集リスクも残る。確認リンクのフィッシングを廃止するという目標は正しいが、Googleがブラウザとメールサービスの双方を握る構造への依存が深まる点は注視が必要だ。

𝕏 Post B! Hatena

COMMENTS 0

No comments yet — be the first to leave one.

Post a comment