Mozilla Security Blog 日本語版

Mozilla Security Blog を日本語に翻訳(非公式)

Mozilla web セキュリティバウンティプログラムの刷新

この記事は、2017 年 5 月 11 日付で Mozilla Security Blog に投稿された Relaunching Mozilla’s Web Security Bounty Program (筆者:April King)の翻訳です。この翻訳は公式なものではありません。詳しくは こちら をご覧ください。


この度 Mozillaweb セキュリティバグバウンティプログラムを刷新し、 web セキュリティバグの報奨金における透明性を向上させました。

歴史

バグバウンティプログラムは何年も前に Netscape初めて 創設したものですが、Mozilla は 2004 年 8 月に バグバウンティプログラムを開始しました。 当時は Linspire, Inc. と Mark Shuttleworth から資金提供を受け、 Firefox と他の Mozilla ソフトウェアで見付かった重大なセキュリティ脆弱性に対して $500 を支払っていました。 現在のバグバウンティでは 金額が 6 桁に達する こともあるため、当時の金額は牧歌的に見えるかもしれませんが、 別の視点ではセキュリティバグの発見に対するテクノロジー企業の姿勢が大きく前進したとも見ることもできます。

それから 6 年後の 2010 年 12 月Mozilla は web サービスにバウンティプログラムを導入した最初の会社の 1 つとなりました。 報奨金額の幅は $500 から $3000 と大きく前進でしましたが、当時は web セキュリティの状態改善に焦点を合わせていました。

最初に報奨された web セキュリティバグ(addons.mozilla.orgXSS 脆弱性)から現在に至るまで、 自身の専門性を私たちのユーザの保護に役立ててくださった世界中のバグハンターに、延べ数十万ドルをお支払いしてきました。

問題と解決策

バグバウンティプログラムの運用は、特に Mozilla のような企業にとっては常に困難が伴います。 これまで約 20 年の間 web を支え続けてくれたスタッフやコントリビューターがいることに加え、 私たちの web サイトの種類は飛躍的に増えてきました。 www.mozilla.org から www.bugzilla.orgarewefastyet.com に至るまで数多くありますが、 これらのサイトの中には Mozilla のオペレーションに対して 他のものよりも 遥かに大きなリスク を抱えています。

そして問題はこのリスク特性をバグハンターに説明する際に生じます。 Bugzilla における限定的な SQL インジェクションは、 Observatory での XSS 攻撃やコミュニティブログでのオープンリダイレクタとは Mozilla に対するリスクが異なります。 しかし、バグハンターにとってはリスクの度合いに興味がないことがしばしばです。 彼らが知りたいことは、純粋にそのサイトのバグが報奨対象かどうかと実際に支払われる金額です。

概ね報奨対象の web サイトは合理的にリスト化されていると思いますが、実際の支払金額はケースによって異なります。 さらに、リストに明示的に載っていないサイトのバグに対する金額の判断はより難しくなります。

金額がバグハンターの期待と同等、もしくは超えるようであれば何も問題ありません。 しかし期待を下回ってしまった場合、バグハンターの方はがっかりしてしまうかもしれません。 さらには、特定のサイトに対して金額の例外を設けてしまうと、 他にも例外があるのではと期待させてしまう可能性があります。

現在

そこで私たちは先のような多くの問題を解決するべくバウンティプログラムを刷新し、 同時に報奨対象となる web サイトとバグの種類を増やしました。 さらに、それぞれのバグと web サイトの種類に対応する支払金額をリスク特性に基づいて 明示的にリスト化しました

支払金額の一覧

(詳しくは 表の全体を 参照してください)

明確で直感的な支払金額の表を作成したことで、 バグハンターの方々は報奨金が受け取れると分かっているバグの発見に時間と労力を注げるようになり、 前もって実際の支払金額を知ることもできます。 加えて、バグバウンティの Hall of Fame に登録されるバグの種類も拡大しています。 これらのバグに金銭的な報酬はありませんが、 バグハンターによる web の安全性に対する功績を広く感謝する私たちなりの方法として行っています。

私たちの ロゴ から 製品 に至るまで、Mozilla は公開性に自負を抱いている企業です。 報奨金額に対する公開性は世の中でまだ進んでいない領域ですが、 今回の刷新によって web 全体におけるバグバウンティプログラムの公開性向上に貢献できることを願っています。

web バグバウンティプログラムに既に貢献していただいている皆さんには、 この仕組みが皆さんの労力を集中させることに繋がれば幸いです。 初めて間もない皆さんには、ぜひ一緒にインターネットをより安全な場所にしていきましょう!

【翻訳】CA Certificate Policy バージョン 2.4 リリース

この記事は、2017 年 4 月 4 日付で Mozilla Security Blog に投稿された Mozilla Releases Version 2.4 of CA Certificate Policy (筆者:Kathleen Wilson)の翻訳です。この翻訳は公式なものではありません。詳しくは こちら をご覧ください。


私たち MozillaMozilla’s CA Certificate Policy のバージョン 2.4.1 をリリースし、 Mozilla 製品に同梱されている ルート証明書を所有する 認証局(CA) に対して、要件に関する今回の変更点などを CA Communication として通知しました。 Network Security Services (NSS) とは、セキュリティ機能を持ったクライアント・サーバーを開発する際に、 クロスプラットフォームなアプリケーションとして開発できるよう設計された、 オープンソースのセキュリティライブラリ群です。 Mozilla’s CA Certificate Program は、 この NSS にルート証明書を追加する際の手続きを運用する役割を担っています。 NSS のルート証明書Firefox ブラウザーといった Mozilla 製品のみならず、 他の企業やオープンソースプロジェクトが様々なアプリケーションで利用しています。

Mozilla’s CA Certificate Policy における今回の改訂内容は以下の通りです。

  • 監査報告書に加え、証明書ポリシー(CP)と認証局運用ポリシー(CPS)を Mozilla へ毎年送付すること
  • 2017 年 6 月 1 日より、監査報告、CP、CPS は英語で提示すること(必要に応じて翻訳すること)
  • すべての提出資料にオープンなライセンスを付与すること(詳細はライセンスの選択肢と条項を参照)
  • Mozilla’s CA Certificate Policy バージョン 2.4 から Common CCADB PolicyMozilla CCADB Policy を参照するように
  • 新しい Common CA Database (CCADB) により、CCADB に関して今まで暗黙だった期待事項を明文化
  • 受理される監査基準の一覧を更新
  • OCSP レスポンスに関する要件を追加
  • 証明書のシリアルナンバーに対して 64 ビットのエントロピーを要件として指定

Mozilla’s CA Certificate Policy における バージョン 2.4 と 2.3 (2016 年 12 月公開)の差分と、 バージョン 2.4 と 2.2 (2013 年 7 月公開)の差分は、それぞれ GitHub で参照できます。 バージョン 2.4.1 はバージョン 2.4 の規範的な内容を変えずに構成を一新したものです。

今回の CA Communication は関係する各 CA の Primary Point of Contact (POC) へメールで送信され、14 の調査項目に対する返答を求めています。 調査項目の一覧は こちら から確認できます。 この調査に対する返答は Common CA Database を通じて 自動で速やかに公開 されます。

この調査に加え、 mozilla.dev.security.policy フォーラムにおける議論に従うことを追加要件として検討中であることを CA に通知しました。 このフォーラムでは、 Mozilla’s CA Certificate Policy で予定されている変更や、ポリシーと期待に関する質問や明確化、 ルート証明書の追加・変更申請CA/Browser Forum’s Baseline Requirements や他の要件に準じていない証明書に関する議論などが行われています。 フォーラムでの議論に参加することは CA に要求しませんが、 議論の内容を認識しておくことのみ要件とします。 しかしながら、将来の Mozilla’s CA Certificate Program をより良いものとするため、 各 CA が議論に参加していただけることを望んでいます。

この CA Communication は、CA が Mozilla’s CA Certificate Program に参加できるかどうかは私たちの判断 のみで決まること、また私たちのユーザを保護するためにはいかなる手段をも講じることを、 今一度繰り返し強調するものです。 とはいえ、セキュリティを維持する方法として最も良いのは、 パートナーとして CA と協力していくこと、 オープンで率直なコミュニケーションを促していくこと、 現状のさらなる改善方法を探すために努力していくことだと Mozilla は考えています。

Mozilla Security Team

【翻訳】ウェブの世界における SHA-1 の廃止

この記事は、2017 年 2 月 23 日付で Mozilla Security Blog に投稿された The end of SHA-1 on the Public Web(筆者: J.C. Jones)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。


(訳注:以下の翻訳記事における「今日」「明日」という語句は、英語版の元記事が掲載された 2017 年 2 月 23 日に基づくものです。)

ウェブの世界における SHA-1 の使用を廃止する計画を Mozilla2015 年から進めてきましたが(参考:日本語訳)、その計画もいよいよゴールに向かいつつあります。本日、CWI Amsterdam と Google の研究チームは SHA-1 の現実的な衝突手法を世界で初めて 公開しました。このことにより、SHA-1 アルゴリズムの非安全性が明らかになったのと同時に、ウェブセキュリティの要素技術として利用させなくするべきという Mozilla の判断がより強固となりました。

昨年の秋にお知らせした通り(参考:日本語訳)、SHA-1 を利用する Firefox のユーザ数は Firefox 51 のリリース以降徐々に減少しつつあります。明日からは Firefox 52 のリリースに伴い、この廃止方針が Firefox の全ユーザにデフォルトで適用されることになります。

まだ SHA-2 証明書へ移行していないウェブサイトにアクセスする場合、FirefoxSHA-1 が完全に廃止されるとユーザは影響を受けますが、その数はウェブのトラフィック全体の 0.1% を下回っています。安全性に問題のある暗号方式を Firefox から完全に廃止することと並行して、モダンで安全な HTTPS をウェブサイトの運用者が適用できるように支援する取り組みも継続して行います。

Firefox ユーザの皆様は、セキュリティに関する最新の更新・機能を利用できるよう、https://www.mozilla.org/firefox にアクセスして最新の Firefox へ常に更新されているようにしてください。

SHA-1 証明書に対する Mozilla の方針について、ご質問は mozilla.dev.security.policy のフォーラムまでお願いいたします。