企業においてもWebアプリケーションが当たり前のように利用されている昨今、Webブラウザにはこれまで以上に高い安全性が求められている。そうした中、Firefoxを開発しているMozillaでは、どのようなセキュリティの取り組みをを行っているのか。
本誌は、Mozillaでセキュリティエンジニアリングのディレクタを務める"イケメン"開発者Lucas Adamski氏に、具体的な取り組みや方針、今後の予定などを聞いた。
Lucas Adamski - Mozillaのセキュリティ業務全般に従事。Firefoxのセキュリティ向上に関する取り組みが主な業務になるが、エクステンションやプラグイン、Thunderbirdなどにも関係している。 |
アドオン/エクステンションのマルウェア対策、Jetpackへの移行
2010年2月に入ってからFirefoxエクステンションにマルウェアが含まれていたことが発表された。
この問題はいくつかの興味深い事実を含んでいる。まとめると次のようになる。
- ソフトウェアと人的リソースの2つの仕組みでチェックをしていたが、それをかい潜ってマルウェアが潜入した。
- ソフトウェアによる検出を強化すると、誤検出の割合も増える。
- Firefoxアドオン/エクステンションのチェックにかかる時間に対して不満をもっている開発者が少なくない。
事件が発覚したあと、エクステンションのチームはチェックにかかる時間の短縮と、誤検出や未検出を避けるための改善を継続して実施。事件発覚時よりも状況は改善している。こうした状況に対するLucas Adamski氏からの説明は次のようなものだった。
- FirefoxのエクステンションはChromeのエクステンションとはだいぶ仕組みが違う。Chromeエクステンションよりもパワフルなことを実現できる。このため機能とセキュリティの双方をチェックを実施する必要があり、エクステンションの配布登録に時間がかかる。フォーカスしているのは最終的に利用することになるユーザであり、こうしたチェック機構は正しい仕組みだと考えている。
- エクステンションの開発はJetpackをベースにしたものへシフトしていくと考えている。サンドボックスによる機能提供と吟味されたAPIの提供など、今よりも簡単に強力なエクステンションが開発でき、セキュリティチェックやアップデートも実施しやすくなる。不審な挙動を検出してチェックするといったことも実現しやすくなる。
Firefoxエクステンションの実装をJetpackベースにする意向についてはMozilla LabsのAza Raskin氏から何度も発表されている。Lucas Adamski氏からも同じ発言があったことは興味深い。