Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

Google が Google Chrome での安全ではないダウンロードからユーザーを保護

公開日: May 12, 2026
説明

Google Chrome は、2021 年 1 月から HTTPS サイトからの混在コンテンツの表示と HTTP ファイルのダウンロードをデフォルトでブロックします。これにより、Salesforce 製品内の安全なページからの非 HTTPS ダウンロードや画像がブロックされる可能性があります。カスタムコンテンツがセキュア HTTPS ホストを通じて送信されていることを確認してください。

この記事では、Salesforce のコア製品に焦点を当てます。以下の製品についてはそれぞれのリンク先を参照してください。

他のクラウドや製品については、下記の「この変更による他のクラウドや製品への影響」の項を参照してください。

 

影響を受けるものは?

この変更により、Salesforce 内の安全なページから開始した非 HTTPS のダウンロードや画像にエンドユーザーがアクセスできなくなる可能性があります。

  • 画像

安全でない HTTP ページでホストされている画像や動画を安全な HTTPS ページで表示すると、壊れた画像が表示されます。 

  • ダウンロード

安全でない HTTP または FTP サイトでホストされているリンクや添付ファイルを安全な HTTPS Webページからクリックするとエラーになります。

 

可能な対応策は?

カスタムコンテンツがセキュア HTTPS ホストを通じて送信されていることを確認してください。HTTPS を通じた送信ではデータが暗号化されるため (TLS) 、中間者攻撃などの攻撃を防御できます。HTTPS の設定方法は、利用しているサービスによって異なります。上記から該当するサービスのリンクを選んで、HTTPS の設定に関する詳細情報を参照してください。詳細は、Google Chrome ブログを参照してください。
 

この変更による他のクラウドや製品への影響は?

Salesforce 技術部門は、この変更が Salesforce のクラウド製品にどのような影響を与えるのかについて評価を行い、新しい情報が手に入り次第、随時この記事を更新します。
 

Commerce Cloud 

カスタムメールテンプレートに混在コンテンツが含まれていないか確認してください。この変更の影響を受けるのは、お客様が管理しているカスタムメールテンプレートのみです。
 

Industries Cloud

Vlocity 

お客様が開発したカスタム UI と Apex クラスに混在コンテンツ問題がないか確認してください。カスタム UI としては、Visualforce ページ、Aura コンポーネント、そして安全なホストから提供される LWC または HTML/CSS/JS コンテンツがあります。カスタム Apex クラスの場合は、コードやデータに含まれているか、または 外部 API から受け取って UI で表示される埋め込み URL 変数を確認します。HTTP URL から提供される安全でない埋め込みコンテンツは、安全な HTTPS ホストによって削除または置換されることがあります。
 

Experience Cloud (旧 Community Cloud) 

Visualforce ページ、Lightning コンポーネント、コミュニティ設定で混在コンテンツが使用されていないか確認します。また、コンポーネントで作成または設定されているダウンロード可能なコンテンツを参照するリンクで HTTPS が使用されていることを確認します。

Salesforce CMS コンテンツ
外部で参照されるメディアを作成するときには、コンテンツの完全な機能が維持されるように安全な「https://」URLを使用します。安全でない URL を使用している外部参照メディアは、デフォルトではサムネイル画像やプレビューが表示されなくなりました。

 

Google がこの変更を行う理由は?

安全でないダウンロードは、ユーザーのセキュリティとプライバシーにとってリスクとなります。たとえば、安全でない方法でダウンロードしたファイルは、攻撃者によってマルウェアに置き換えられてしまう可能性があります。また、安全でない方法でダウンロードしたユーザーの銀行取引明細書を盗聴者が盗み見たりするおそれもあります。こうしたリスクに対処するために、Google は最終的に Chrome での安全でないダウンロードのサポートを廃止する予定です。Google は、Chrome では徐々に、安全な (HTTPS) ページで安全なファイル以外をダウンロードできなくすると発表しています。「タイムライン」セクションに説明されている一連のステップに沿って、Google は混在コンテンツのダウンロード、つまり安全なページで開始された非 HTTPS ダウンロードのブロックを開始する予定です。これは、Google が昨年発表した、安全なページ上のすべての安全でないサブリソースをブロックする計画に従った展開です。まず Google は、安全なページで開始される安全でないダウンロードを対象にしています。現在 Chrome でプライバシーやセキュリティが危険にさらされていることをユーザーに知らせていないため、このケースについて懸念されています。

 

詳細情報を入手するには?

Google からの詳細な情報と予定タイムラインについては、Google Chrome ブログを参照してください。

解決策

FAQ:

混在コンテンツとは?

Web ページをブラウザで表示するためのプロトコルには、HTTP と HTTPS の 2 種類があります。HTTPS プロトコルに従う Web サイト は、HTTP を使用する Web サイトよりもはるかに安全です。HTTPS 対応のサイトは暗号化されているため、認証、データの整合性、セキュリティが確保されます。ただし、一部の Web サイトでは同じページに HTTPS コンテンツと HTTP コンテンツの両方が読み込まれ、これを混在コンテンツと呼びます。混在コンテンツの問題が発生するサイトの大半では、HTTP ドメイン経由で読み込まれる画像、動画、スタイルシート、スクリプトなどの外部ソースを使用しています。最初の要求が HTTPS として送信されたとしても、その後で Google Chrome ブラウザで混在コンテンツが表示されると、その HTTP リソースがユーザに損害を与えるおそれがあるため、そのサイトは安全でないものとして表示されます。 

 

変更のスケジュールは?

Google Chrome の段階的ロールアウトでは、まずブラウザ上で警告を表示した後、混在コンテンツのダウンロードのブロックへと進みます。Google Chrome のロールアウトスケジュールは次のとおりです。 

コンテンツタイプ

ファイルの例

ブラウザでの警告

ブロック

実行可能ファイル

exe、apk

Chrome 84 (8 月)

Chrome 85 (9 月)

アーカイブ

zip、iso

Chrome 85 (9 月)

Chrome 86 (10 月)

ドキュメント

pdf、docx

Chrome 86 (10 月)

Chrome 87 (11 月)

マルチメディア

png、mp3

Chrome 87 (11 月)

Chrome 89 (21 年 1 月)

 

何が対象外となりますか?

1.HTTP のみのサイト/URL

影響は、安全なページで表示される安全でないコンテンツに限定されるようです。HTTP のみのコンテンツを表示する HTTP のみのページは正常に機能するようです。

2.HTTP ページの読み込み

この変更では、HTTP のみのサイトの読み込みや、Transport Layer Security (TLS) を使用しないメールクライアントでのメールの表示はブロックされません。そのため、HTTPS を使用していない HTTP のみのページは、正常に機能します。

ナレッジ記事番号

000389288

 
読み込み中
Salesforce Help | Article