"イケメン"開発者が語る! Mozilla、セキュリティ向上への取り組み

企業においてもWebアプリケーションが当たり前のように利用されている昨今、Webブラウザにはこれまで以上に高い安全性が求められている。そうした中、Firefoxを開発しているMozillaでは、どのようなセキュリティの取り組みをを行っているのか。

本誌は、Mozillaでセキュリティエンジニアリングのディレクタを務める"イケメン"開発者Lucas Adamski氏に、具体的な取り組みや方針、今後の予定などを聞いた。

アドオン/エクステンションのマルウェア対策、Jetpackへの移行

2010年2月に入ってからFirefoxエクステンションにマルウェアが含まれていたことが発表された。

• Firefoxエクステンション、トロイの木馬発覚
• 訂正: Firefoxエクステンションにトロイの木馬、ひとつは誤検出

この問題はいくつかの興味深い事実を含んでいる。まとめると次のようになる。

• ソフトウェアと人的リソースの2つの仕組みでチェックをしていたが、それをかい潜ってマルウェアが潜入した。
• ソフトウェアによる検出を強化すると、誤検出の割合も増える。
• Firefoxアドオン/エクステンションのチェックにかかる時間に対して不満をもっている開発者が少なくない。

事件が発覚したあと、エクステンションのチームはチェックにかかる時間の短縮と、誤検出や未検出を避けるための改善を継続して実施。事件発覚時よりも状況は改善している。こうした状況に対するLucas Adamski氏からの説明は次のようなものだった。

• FirefoxのエクステンションはChromeのエクステンションとはだいぶ仕組みが違う。Chromeエクステンションよりもパワフルなことを実現できる。このため機能とセキュリティの双方をチェックを実施する必要があり、エクステンションの配布登録に時間がかかる。フォーカスしているのは最終的に利用することになるユーザであり、こうしたチェック機構は正しい仕組みだと考えている。
• エクステンションの開発はJetpackをベースにしたものへシフトしていくと考えている。サンドボックスによる機能提供と吟味されたAPIの提供など、今よりも簡単に強力なエクステンションが開発でき、セキュリティチェックやアップデートも実施しやすくなる。不審な挙動を検出してチェックするといったことも実現しやすくなる。

Firefoxエクステンションの実装をJetpackベースにする意向についてはMozilla LabsのAza Raskin氏から何度も発表されている。Lucas Adamski氏からも同じ発言があったことは興味深い。

• Firefoxアドオンの置き換えを目指す、Jetpackギャラリー