「初バグ」の悪用はない――Mozillaが語るFirefox 3のセキュリティ

[Brian Prince，eWEEK]

　MozillaのFirefox 3は6月17日、多数の新しいセキュリティ機能とともに登場し、リリースから最初の24時間で約830万ダウンロードに達した。だが、同ブラウザでは既に最初のバグが見つかっている。OS固有ではない脆弱性で、セキュリティベンダーTippingPoint Technologiesは「Critical（緊急）」レベルと評価している。

　問題のバグをMozillaに密かに通報したTippingPointも、Mozillaも、この脆弱性について多くのことを明らかにしていないが、TippingPointは、これはリモートコード実行につながる恐れがあり、悪用するにはユーザーに特定の操作をさせる必要があると報告している。このバグはFirefox 2にも影響し、両バージョンとも次のセキュリティアップデートで修正される予定だ。その時期を聞いたが、Mozillaは具体的な日付を出せなかった。

　Mozillaのセキュリティ責任者ウィンドウ・スナイダー氏は電子メールによる取材で、このバグが実際に悪用されているという証拠はなく、詳しい情報が伏せられているためユーザーのリスクは小さいと語った。これでFirefoxユーザーは少し安心できるだろうが、このバグの存在は、Firefoxのセキュリティに注目を集めることにもなっている。

　Firefoxはバージョン3で、アドオンをチェックして最新版が使われるようにする機能など、多数のセキュリティ関連の新機能を追加した。だが最も大きいのは、Googleと協力してWebサイトのブラックリストを導入したことだ。ユーザーが偶然不正なサイトにアクセスすることがないように、ブラックリストのアプローチを採用したとスナイダー氏は語った。

　「この場合、ホワイトリストは適さない。Webは巨大で、すべてのWebサイトのカタログを維持し、それに含まれないものを遮断しようとするのは、機能的に不可能だ」と同氏は言う。「それにホワイトリストは、マルウェア作者が広告ネットワークに入り込んだり、サイトの脆弱性を悪用したりなどして合法的なWebサイトを標的にする場合には、致命的な欠点がある」

　Firefox 3はGoogleのフィッシング・マルウェアデータベースを利用して、ユーザーがアクセスしようとしているサイトをロード前にチェックするという。ローカルデータベースはおよそ30分おきにアップデートされる。

　「チェックは非常に高速なため、サイトに接続する前に実行できる」とスナイダー氏は言う。「これによりロードを事前に防ぐため、単にロードされたページの上に警告をポップアップ表示するよりも安全で、ユーザーへの強力なメッセージとなる」

　Opera Softwareも、6月12日にリリースされたOpera 9.5でHaute Secureと提携することで、同様の対策を取っている。だがOperaは、同社のアプローチは不正なリンクからもユーザーを保護し、FirefoxやInternet Explorerの一歩先を行っていると主張している。

　「ほかのブラウザも独自のマルウェア対策を導入しており、それはユーザーにとってもインターネットにとってもいいことだ」とスナイダー氏は言う。「内部テストの結果、Firefox 3のセキュリティ対策により、ユーザーがWeb上でこれまで以上に安全になるという自信を持っている」

原文へのリンク