この記事は、2014 年 7 月 23 日付で Mozilla Security Blog に投稿された Improving Malware Detection in Firefox（筆者: Sid Stamm）の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。

悪意を持ったソフトウェアによる絶え間ない脅威から人々を保護する、よりよい方法を私たちは常に探しています。Firefox ではここ数年、ユーザが危険なサイトにうっかりアクセスしてしまうのを防ぐため、Google の Safe Browsing が提供するフィッシングとマルウェアの防御機能を利用しています。この防御機能は、フィッシングやマルウェアのサイトと報告されたリストを Firefox がダウンロードし、ユーザのアクセスしたサイトをこのリストに照合して確認するものです（より詳しくはこちらのページを参照してください）。

Firefox はより安全になりつつあります。

最近までは、悪意のある「web サイト」と報告されたリストにしかアクセスできませんでした。しかし今では、Safe Browsing サービスは悪意のある「ダウンロードされたファイル」についても監視しています。（2014 年 7 月 22 日現在で）最新バージョンの Firefox では、ユーザがダウンロードしたファイルを悪意のあるファイルに関するリストと比較することで、ユーザをマルウェアからさらに保護できるようになり、マルウェアがユーザのシステムに危害を与えるのを防ぐようになります。

（2014 年 9 月にリリースされる）次のバージョンの Firefox では、Windows において悪意のあるダウンロードを「さらに」防御できるようになります。ユーザがアプリケーションファイルをダウンロードした際、Firefox は署名の有無を確認するようになります。ファイルが署名されていた場合、Firefox はその署名を安全な提供元のリストに照らし合わせます。このリストを用いても「安全」（許可されるもの）か「マルウェア」（ブロックされるもの）かを判断できなかった場合は、そのファイルのメタデータを Google の Safe Browsing サービスに一部送信し、ソフトウェアの安全性を問い合わせます。このオンライン確認は、Windows 版 Firefox かつ既知の安全な提供元として署名されていないダウンロードファイルにのみ行われることに注意してください。Windows における一般的かつ安全なソフトウェアはほとんど署名されているため、最後の確認作業が常に必要となることはありません。

事前に行った実験の結果に基づき、今回の新しいマルウェア防御機能によって、Firefox の防御機能をすり抜けるマルウェアの量は半減することを見込んでいます。これはすなわち、多くのマルウェアが遮られることを意味します。

リストに合致しなかったわずかなダウンロードファイルについて、データを Google に送信したくないユーザに関しては、もちろんマルウェア保護機能を無効にすることができます。しかし、マルウェアの根絶は多くの人にとって重要であると私たちは思っており、皆さんの安全なブラウジングを縁の下で支える役目を、今回の新しい機能が果たしてくれることと考えています。

より詳しくは Monica の書いたブログ記事を参照してください。

この記事は、2016 年 2 月 24 日付で Mozilla Security Blog に投稿された Payment Processors Still Using Weak Crypto（筆者: Richard Barnes）の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。

Web を保護する活動の一環として、Mozilla は Web PKI のガバナンスに参加しています。Web PKI とは、ブラウザが Web サイトを認証できるようにするセキュリティ証明書の仕組みです。Mozilla は 他のブラウザや Web におけるステークホルダー とともに、証明書の発行手続に関する 標準 に同意します。これから私たちはこの標準を適用し、加えて Mozilla 独自のポリシー も追加します。このポリシーは Firefox が信頼する「ルート」から（直接・間接にかかわらず）発行された証明書すべてに適用されます。

パブリックなインターネット上で支払情報を交換する支払いサービス事業者の中には、サーバと支払端末の間に安全な通信路を確保するために Web PKI 証明書（Firefox の信頼するルートまでチェインがつながっている証明書など）を利用していることがあり、これまで私たちはこのような事業者を紹介してきました。残念ながら、ブラウザ以外の Web PKI ユーザの中には、Web の獲得したセキュリティの向上に追いつけていないものがあります。（証明書の完全性を確認するために用いる）SHA-1 ハッシュアルゴリズムは、Web PKI における利用を廃止することが宣言されましたが、そのような事業者はデバイスを更新できておらず、代替の SHA-2 がサポートされていません。なお、SHA-1 の利用期限は昨年に決定されたものです。この結果、支払サービスに関係する多くのデバイスは、サービスを運用させるために SHA-1 の証明書をサーバに要求し続けています。

特に Worldpay PLC の場合、自身が利用する認証局の Symantec を通じて、限られた数の SHA-1 証明書を発行する権限の認可を Mozilla に要請しました。この証明書は多くの古いデバイスをサポートするために必要ですが、Mozilla の同意する標準に違反しています。また、この要請があったのは、認可を必要とする日まで 2 週間を切っているタイミングでした。dev.security.policy のメーリングリストで議論 を重ねた結果、これらのデバイスを利用するユーザの混乱を防ぐため、証明書の発行を例外的に 許可 するよう決定しました。ただし、SHA-1 証明書の発行に完全な透明性を確保し、SHA-2 への移行を目的としていることを条件としました。

この認可により、Worldpay のデバイスを長く運用させるため SHA-1 証明書が Symantec から発行できるようになり、Mozilla はその証明書発行を欠陥と扱わなくなります。この決定は Mozilla のルートプログラムのみに影響を与えるため、他のルートプログラムでは誤った証明書発行と扱われる可能性があります。

Web PKI を利用するしないにかかわらず、Worldpay の他にも同じく SHA-1 を必要とし続ける支払いサービス事業者がいることは把握しています。こういった団体が強度の弱い時代遅れのセキュリティ技術を利用することで、一般市民のデータがリスクにさらされてしまうのは残念でなりません。Web PKI で SHA-1 を必要とし続ける団体には、可能な限り状況が改善されるよう働きかけを行い、SHA-2 への移行策をできるだけ詳しく提供していきます。