Mozilla Japan ブログ

Mozilla、Firefox、Firefox OS、Thunderbird の最新情報をお伝えします

アーカイブ - セキュリティ

インターネットの安全を守る上での Mozilla の役割: 皆さんのご協力も必要です

この記事は米国 Mozilla Blog の記事 "Our Role in Protecting the Internet -- With Your Help" の抄訳です。

インターネットのセキュリティは利用者全員で守っていく必要があります。先日の記事 でこの事について触れましたが、今回は、このテーマを掘り下げ、インターネットを守る上での Mozilla の役割、そしてその役割がインターネットの他の関係者との相互の協力によって成り立っていることについてお話しします。


安全なブラウザ-づくり

Firefox はインターネットの重要な一部分であり、それを守ることは Mozilla の役割です。世界には、Firefox を通してウェブにつながっているユーザーが何億人も存在します。Mozilla が Firefox に搭載するユーザーに寄り添ったセキュリティ機能を、こんなにも多くの方々に使っていただいていることは喜ばしい反面、たったひとつの脆弱性によって、こうしたユーザーのコンピューターやスマートフォンが悪意のある者に乗っ取られてしまう危険性もあります。そのため、Mozilla では、Firefox の脆弱性をいち早く発見し、修正することに多くの労力を注いでいます。 社内のエキスパート集団によるチェックに加え、 Mozilla では、長い歴史を誇る バグ報奨金プログラム を通してセキュリティ研究者が脆弱性を報告できるしくみを用意しています。今年だけでも Mozilla 外の研究者によって Mozilla 社内では発見できなかった130 以上もの深刻な脆弱性が報告されました。このセキュリティ研究者のコミュニティ無くしては、今ほど安全な Firefox は存在しません。

また Mozilla では、こうした脆弱性を未然に防ぐための基礎技術にも投資しています。 たとえば プログラミング言語 Rust は、特定の種類の脆弱性が起こり得ない設計になっており、かの悪名高き Heartbleed もこれに含まれます。Rust では、こうした脆弱性をはらんだプログラムを書くことが、そもそも不可能となっています。 Rust は Mozilla 発のプロジェクトですが、1500 を超える貢献者 の存在なくしては、これほどまでに早く成熟することはなかったでしょう。 Firefox 内でも Rust の使用が始まっています が、Mozilla コミュニティでは、既に Rust を使って Unix の 中心的ユーティリティ を置換する Doom Renderer や、すべて Rust で書かれた OS までも が作られています。これらはすべて、多くの脆弱性に対する安全性を備えています。

また Mozilla では、Tor Project との密接な協力を通し、ブラウザーの安全性に貢献しています。 Tor Browser とは、Firefox から派生しプライバシー機能が強化されたブラウザーで、ユーザーは匿名性を保ちながらウェブを閲覧することができます。たとえば SecureDrop というシステムを使えば、情報提供者が身元情報を守りながら記者に Tor を通じて書類を送信することができます。Tor コミュニティの貢献によって生まれたアイデアやコードの数々は、貴重なもので、Mozilla としても大変感謝しています。彼らがウェブにもたらしたイノベーションを Firefox に統合し、ユーザーにさらなるプライバシー機能をできるように密接に協力しながら進めています。


安全なウェブに向けて

ウェブはもちろん Firefox だけで構成されているわけではありません。 さまざまなコンピューターや人、企業が協力しながらネットワークを作ることによって出来上がっています。 Mozilla のセキュリティエンジニアは、こうしたウェブエコシステムの各プレーヤーと協力しながらウェブ の基礎技術の安全性を向上できるように努めています。

こうした活動の一部として、Internet Engineering Task ForceWorld Wide Web コンソーシアム といった標準化団体との協働を行なっています。これらの組織は、ブラウザベンダーやサーバーオペレーター含め、ウェブをより良くしたいと考えるメンバーが集う場所でもあります。 Mozilla のスタッフも先導して 暗号化通信の基本システムウェブログイン のセキュリティ向上の取り組みを行っています。しかしこれらの活動は、他の組織とコラボレーションがあってこそ初めて成功します。 一例を挙げると、先日、 Mozilla は Google、Facebook、Cloudflare、INRIA を含む各社と共に、最新の暗号化プロトコルのテストや、各ベンダーが協力して作る様々なシステムのデモンストレーションを実施しました。

Mozilla が担うもうひとつの役割として、 Mozilla Root Certificate Program の維持があります。これは、 Firefox を含む多くのオープンソースプロジェクトが利用している、信頼できる電子証明書を見分けるためのツールです。電子証明書の信頼性を担保することは、ウェブ自体の信頼性を保つことに直結します。 その中で Mozilla は、唯一、完全オープンなコミュニティベースで信頼できる証明書を判断するプロセスを有するブラウザです。

そして最後に、エコシステムに穴がある事に気づいた際、その穴を埋めることも Mozilla の一つの役割です。たとえば数年前、 私たちは証明書を取得するプロセスの煩雑さやコストが、ウェブのセキュリティの足を引っ張っていることに気づきました。そこで Mozilla は、EFF、Cisco、Akamai やその他多くの企業と協力して Let's Encrypt というウェブサイト向けに無料で自動的に証明書を発行する認証局を立ち上げました。立ち上げ後 1 年足らずで、 1400 万以上ものサイト に証明書を発行しました。これらのほとんどは、それ以前は証明書を持っていないサイトでした。これは、業界内の各パートナーやコミュニティからの貢献者の協力があってこそ達成できた偉業です。


セキュリティのコミュニティをつくる

インターネットのセキュリティ向上が直面する課題は、決して技術的な挑戦だけではありません。正しい知識を持って、インターネットセキュリティ向上のため、政府や企業が良い判断を下す手助けができる人々のコミュニティが必要となります。そのため、Mozilla では今年、暗号化通信についてより多くの人々に知ってもらうためのキャンペーン を打ち出しました。そして現在も、継続してインターネット上で安全性を守るの方法について普及活動 を行なっています。

また、仲間であるオープンソースコミュニティへの援助を通じて、彼らのプロジェクトのセキュリティ向上にも貢献しています。 Mozilla Open Source Support (MOSS) プログラム は、対象プロジェクトのセキュリティを向上させるために、今年、 80 万ドル以上の寄付を行なっています。 MOSS 助成金は、これまで Tor、TAILS privacy-enhanced operating systemCaddy HTTP server (自動的にセキュリティをて提供するサーバー) 、複数のセキュリティ監査 をはじめ、その他多くのオープンソースセキュリティプロジェクトに支援を行いました。


全員の協力が必要です

ご覧いただいた通り、 Mozilla が行っているセキュリティに関する取り組みは、独立した研究者、政府機関、同業他社パートナー、ユーザー含め、セキュリティに関わる全ての人が行っている取り組みと深く関わりがあります。そしてどのメンバーも、全体に欠かせない一部です。ひとつでも欠けてしまえば、ウェブの安全性は損なわれます。 Mozilla のセキュリティチームの活動に興味を持った方は、ぜひ私たちの Security Blog をフォローしてください。

絵文字を使って暗号の基本について学べるゲーム "Codemoji" を公開しました

米国 Mozilla より昨日公開されたばかりの暗号の基本を皆さんに知ってもらうためのツール "Codemoji" をご紹介します。

メッセージを書いて、暗号化の鍵となる絵文字を 1 つ選択すると、書いたメッセージが絵文字の暗号となって表示されるツールです。残念ながら日本語は使えないので、暗号にできるのは英文もしくはローマ字で書かれた文に限られますが、暗号化されたメッセージは SNS やメールを通じて友達とシェアできます。暗号を送り合って、暗号とそれを使った通信について考えてみましょう。

個人で使用する以外に、学習教材としても有用なコンテンツです。ぜひご利用ください。


[以下は、米国 The Mozilla Blog の記事 "Meet Codemoji: Mozilla's New Game for Teaching Encryption Basics with Emoji" の抄訳です]

==================================================


msg1.png


上のメッセージは、一見ランダムに羅列された絵文字の並びに見えるかもしれません。しかし実は、解読すると「Encryption Matters (暗号って大切)」と書いてあります。

本日、 Mozilla は Codemoji という、暗号の基本となっている「サイファ(暗号)」について、絵文字を使って楽しく学べるツールを公開しました。

Codemoji で遊ぶ»

遊び方

Codemoji とは、書いたメッセージを絵文字を使って暗号化し、その暗号を友人に送ることができる Web 上のプラットフォームです。

codemoji.gif

注意: Codemoji は学習支援ツールであり、個人情報を共有するためのツールではありません。幸い、今日の暗号化技術は絵文字を使ったサイファ (暗号) よりもずっと強力なので、個人情報のやり取りを行う際は、より高度なセキュリティツールを利用しましょう。

Codemoji の狙い

Codemoji は Mozilla が イタリア・トリノにベースを置くデザイン・クリエイティブエイジェンシー TODO との協力の上で制作しました。 その目的は、日常的にインターネットを利用するユーザに、暗号化通信やサイファ (暗号) の基本について知ってもらうことです。

Mozilla の エグゼクティブ・ディレクター Mark Surman は以下のように述べています。

「より多くの人が暗号のしくみや、自分にとっての意義について理解すれば、然るべきタイミングが来た時に一斉に立ち上がることができるでしょう。世界の各地で暗号化通信が脅かされている今、みなさんのこうした理解は極めて重要になってきます。フランスに始まり、オーストラリアやイギリス等、暗号の安全性を弱めるような政策が各国の政府によって提案されています。アメリカでも最近、FBI がアップルに自社製品のセキュリティを弱めるよう要請する事件がありました。」

暗号はインターネットをより安全なものにしていくにあたって最も大切な武器であると Mozilla は信じています。そして、より安全なインターネットづくりは Mozilla のユーザにとって、経済にとって、そして国家の安全にとって欠かせない要素でもあります。

暗号は私たちの日常生活や日々の買い物の一部となっています。暗号が利用されるのは、貯金や買い物など、とても重要な場面です。暗号の力を弱めることは、これらの行為を危険に晒すことを意味します。

Codemoji がインターネットユーザが暗号について理解するための第一歩になることを Mozilla は願っています。暗号の重要性やそれを守るためにできることについては、 advocacy.mozilla.org/encrypt をご覧ください。

最後まで読んでいただき、ありがとうございます。
msg2.png


(Codemoji の訳: "Thanks for reading")
week1_codemoji_03.jpg

Mozilla がサポートする Let's Encrypt がベータから正式版へ

[この記事は、米国 The Mozilla Blog に掲載された記事 "Mozilla-supported Let's Encrypt goes out of Beta" の抄訳です]

暗号化通信の世界的普及を目指し、2014 年に Mozilla は、Akamai、Cisco、Electronic Frontier Foundation、Identrust、そしてミシガン大学と協力して Let's Encrypt を設立しました。そして本日、 Let's Encrypt はベータ版から晴れて正式版に移行しました。 Let's Encrypt をこの完成度まで持ってこられたことは、Mozilla にとって大きな誇りです。

Let's Encrypt とは、無料でオープンな証明書の自動認証局です。これにより、誰でも簡単に Web サイトの通信を暗号化できます。Let's Encrypt は、IETF で標準化されている ACME というオープンプロトコルを使っています。ACME はすでに 40 以上もの独立した実装例があります。Dreamhost や、WordPress.com を運営する Automatic など、ACME を利用できる Web ホスティングサービスも複数あり、Let's Encrypt を統合することで標準設定での暗号化通信を実現しています。

Web セキュリティの基盤を作りあげる HTTPS プロトコルが誕生してから、既に長い年月が流れています。しかし、2015 年末の時点で HTTPS を利用していたのは、全ページビューの 40% 未満、また全トランザクションの 65% 未満に留まりました。人々が望んでいる本当に安心安全な Web を実現するためには、これらの数字は 100% でなければなりません。セキュリティの高い Web サイトを立ち上げるための最大の障壁は、Web ブラウザに、閲覧しているサイトが本物であることを教える「証明書」を取得することです。この証明書を取得するプロセスは、長い間、複雑で費用もかかるものであったため、暗号化の普及にとって大きな壁となっていました。

2015 年 11 月にベータ版をリリースしてからの 6 ケ月間で、Let's Encrypt は約 240 万のドメインに向けて 170 万以上もの証明書を発行してきており、現在も 1 日あたり 2 万件以上発行し続けています。これらのサイトの 90% 以上は、それまで暗号化されていなかったサイトでした。これに加え、Let's Encrypt にも 20 社以上もの企業の参加があり、業界全体としてのムーブメントとなりました。

Let's Encrypt の実現に尽力された全ての方々に感謝と祝福の気持ちで一杯です。セキュリティは、Web にとっての根幹であるべきであり、誰もが Web をより安全に使えるようになるため、Let's Encrypt は、重要な役割を果たしています。

暗号化と Apple をめぐって話を続けよう: Mozilla が新しい動画を公開

[ この記事は、米国 The Mozilla Blog で公開された記事 "Continuing the Conversation About Encryption and Apple: A New Video From Mozilla" の抄訳です ]

先週、暗号化をめぐるこの話題は最高潮に達しました。世界中で暗号化、Apple、FBI という言葉が見出しに躍り、家庭でもテレビでもインターネット上のあらゆるコメント欄でも、セキュリティとプライバシーについて活発な議論が行われています。

米国政府が Apple に対して同社独自のセキュリティ保護を迂回できるようにすることを求めたのは、行き過ぎであると Mozilla は考えています。Apple にこのようなことを要求すれば、やがて消費者のセキュリティを脅かす危険な前例を作ることになりかねません。しかし、こうした議論は暗号化についてさらに広く一般の人たちに理解してもらうための好機でもあります。人々が自分の日常生活の中で暗号化が果たす役割を理解すれば、脅威が表面化した時に私たち皆で暗号化を守るために立ち上がることができます。インターネット全体の健全性に関わるこの重要な問題が、大きく取り上げられるようになるのです。

今月 (Apple の一件が報道されるほんの数日前)、Mozilla は暗号化について一般の人たちに知ってもらうためのキャンペーンを始めました。新たに浮上した妥協を許さない論戦と並行する形で続けることになったこのキャンペーンに、私たちは意欲的に取り組みたいと考えています。

本日、Mozilla はこのキャンペーンの 2 つ目の動画を公開しました。これは、暗号化をかわいらしいキャラクターとしてアニメーション化し、このキャラクターがどのように機能し、なぜ重要なのかを説明する短い動画です。

ぜひこの動画を友だちや家族と共有し、この一週間で表面化してきた問題について話し合ってみてください。安全でオープンなインターネットに対して草の根的な支援を確立することは、非常に重要です。その取り組みが効果的であることは実証済みです。インターネットの中立性を支えてきたのは、家庭での話し合いや日常的なインターネットユーザの支持でした。それが、現在のオープンなインターネットに関する活動のパワーになっているのです。今こそ、もう一度そうした取り組みをすべき時です。暗号化についての理解を広め、暗号化の安全を維持するためにご協力をお願いいたします。

参考情報

暗号化の重要性を広める活動にご協力ください

[ この記事は、米国 The Mozilla Blog に掲載された "Help Us Spread the Word: Encryption Matters" の抄訳です ]

今日、インターネットは地球上でもっとも重要な公共のリソースになりつつあります。インターネットは、オープンで、無料で、毎日の生活に欠かせません。私達は日々、インターネット上でコミュニケーションをとり、振り込みをし、買いものをします。またインターネットは、私たちがつくり、学び、そして組織を形成する場所でもあります。

これらのインターネットの可能性は、いくつかのコアとなる原則から成り立っています。それは、例えば「インターネット上での個人のセキュリティとプライバシーは基本である」という考えがその一つです。

Mozilla の使命は、こうした原則を推し進め、インターネットがグローバルな公共リソースであり続けるようにすることです。そのためにも、インターネットを脅かす危険性には常に敏感でなければなりません。そして、最近その脅威の一つの危険性が日に日に増しています。「暗号化」に対する間違った認識の広まりです。

暗号化は、インターネットが健全であり続けるためには不可欠です。暗号化とは、メッセージの送信者と宛先となる受信者のみが解読できるように、情報を暗号にして送ることです。私たちは日々、知らず知らずのうちに暗号化の恩恵にあずかっています。メールのやり取りやサーチエンジンでの検索、医療情報など、人には知られたくない情報の漏えいを防いだり、ジャーナリストや人権運動の活動家、内部告発者等の身の安全を守ったりするのも、情報の暗号化です。

暗号化は、決して「ぜいたく」ではありません。むしろ、生きていく上での必需品の一つです。Mozilla では、つねに暗号化を重要視してきました。私たちのミッションは、インターネットがオープンで誰にでもアクセス可能な公共リソースであり続けることを保証することだからです。

今や世界各地で、暗号化の安全性を低減しユーザの安全を脅かすような政策が、政府機関や法執行機関によって提案されています。彼らの言い分は決まって「強力な暗号化は悪者によって利用される」といった内容です。本来、強力な暗号化はインターネットを利用する人全員にとって必要不可欠なものであるはずです。政府機関の懸念は理解できますが、暗号化の効力を弱めることは、( 特に暗号化を通過できるような「バックドア」を設けることは) 結果的に、インターネットのユーザ全員を危険にさらすことになることを理解して欲しいのです。

Mozilla では、今後も引き続き暗号化の認知向上に向けた努力を続けていきます。無料で自動の SSL 証明書を発行する機関 Let's Encrypt はその努力の一部であり、これによって誰でも簡単に自分のサイトの通信を暗号化することができます。これは Electronic Frontier Foundation 、 Cisco 、 Akamai などを含む、様々な技術パートナーとの協力のもとで実現したサービスであり、Mozilla はこうして技術を味方につけ、人々のが安全にインターネットを利用できるように努力をしています。

しかし、様々な国の政府機関で「バックドア」のような戦略が提案されてくるにつれて、技術だけでは安全の確保が難しくなってきます。そのため、 Mozilla のコミュニティや一般の方々の協力が必要になってくるのです。 こうした仲間たちに、個人のプライバシーと安全は決して任意のものでないことを、私達から選ばれた議員の方々に伝えてもらう必要があるのです。このメッセージがより広まれば、 Mozilla は重要な役割を果たすことができます。

これは、険しい道のりとなることでしょう。ほとんどの人は、暗号化とは何かすら理解できていません。自分のオンラインプライバシーは、自分でどうにかできるものではないと諦めをつけている人さえいます。あるいはその両方かもしれません。

こうした経緯から Mozilla では、私たちのグローバルなコミュニティの協力を得ながら、新しい啓発キャンペーンを開始します。向こう数週間にわたって、 Mozilla では暗号化の認知向上のための動画やブログ投稿、インタラクティブなコンテンツなどを発信していきます。そして本日、その第一弾となる動画を配信いたします。なぜ自分の個人情報を自分で管理しないといけないのか、見ていただけるとわかると思います。この動画をきっかけに、家族や友達とも、プライバシーやインターネット上の安全について、話し合ってみてください。

インターネットを利用する数百万のユーザが暗号化の基本や私たち一人ひとりとのつながりについて、きちんと理解していれば、必要な時が来た時に、きちんと自分のプライバシーと安全を守るために立ち上がることができるでしょう。この必要な時とは、各国において、じき訪れることでしょう。 Mozilla がこれから配信する動画を視聴、共有、そしてそれについて議論するだけで力になることができます。

Mozilla の暗号化キャンペーンについてご関心をお持ちの方は、mzl.la/encrypt をご覧ください。暗号化の普及に向けてのご協力をお待ちしています。

以前の記事