あなたのブラウザ、アンチウィルス他のネットワーク傍受型ソフトウェア

今回は「セキュリティー?ウィルス対策ソフトウェアが入ってるから大丈夫!」という方に特に読んでいただきたいコラムです。

こんにちは!Takaakiです。

今回は「セキュリティー?ウィルス対策ソフトウェアが入ってるから大丈夫!」という方に特に読んでいただきたいコラムです。

日本語訳(ありがとうございます!) Snowofmarchさん


プライバシーとセキュリティを扱うこのシリーズを続けましょう。今回は、アンチウィルスやペアレンタルコントロール、デバッグソフトウェアといった、ネットワークを傍受することに依存したソフトウェアを詳しく解説していきます。これらを使うべきでしょうか?

最初に明確なものをひとつ。セキュリティの主要な要素は、他のソフトウェアによるネットワーク接続の傍受を許さないことです。一般的に、これはアンチウィルスやペアレンタルコントロール、そしてデバッグソフトウェアを含みます。

これらのツールは、ネットワーク接続の傍受を妥当な手段だと考えていますが、よりよい方法があります(例えば、webRequestなどのChromiumネットワークAPIを使う拡張機能を使用することです)。アンチウィルス製品の場合、製品はダウンロードしたファイルを解析して悪意あるダウンロードからコンピュータを保護することができます。

どんな仕組みなのか

製品が何をしているかというと、コンピュータに新しいルート証明書をインストールし、ブラウザーがセキュアなウェブサイトに接続しようとした際にソフトウェアがネットワークを傍受し、自身のWebサイトに接続してブラウザーへの接続を代理し、データを復号してスキャンし、それから独自の証明書によってブラウザーの接続を署名しています。その結果として、ブラウザーはWebサイトへの接続のセキュリティを制御できません…EV証明書をチェックできず、高度な暗号化が施されていることを保証できず、ブラックリスト入りしたあるいは無効になった証明書をチェックできず、Webサイトが本来あるべき姿であるのかも、保証できません。

Vivaldiなどのブラウザーは、上にあげたすべてを得意としており、暗号技術の変化や証明書に問題があった際に迅速に対処することができます。ブラウザーにこれらの制御を許可する必要があります。

攻撃者の悪用に対するさらなる懸念

残念なことに、アプリケーションが新しいルート証明書をインストールする際にその私的なルート証明書へのアクセス権を持つ誰かがいるとすると、それは安全なWebサイトの偽の証明書を作成できること、そしてコンピュータがそれらを信頼し、本物のWebサイトであると考えてしまうことを意味します。もし傍受型ソフトウェアがすべてのインストールで同じ署名の証明書を使用する(ありふれた失敗です)と、これは攻撃者が証明書の自分が持っているコピーを使ってあなたの接続を傍受し、署名できることになります。

一部のアプリは、Webサイトがマルウェアをインストールするためにブラウザーの既知の脆弱性を突こうとするのを検知するため、ネットワーク接続を傍受させるべきだと主張しています。

Vivaldiプロテクション

実際には、そのような問題の衝撃を最小限にするサンドボックス保護が、Vivaldiで使われているChromiumエンジンに組み込まれています。Chromiumの更新は頻繁で、セキュリティ問題への対処は迅速であり、大抵はアンチウィルス製品が攻撃を検出するために更新する機会を得るより前に、ユーザーはパッチをインストールできます。製品がそのような攻撃を検出したと主張する時、しばしばそれはVivaldiではなく古いブラウザーに向けられた攻撃であり、攻撃が通っていてもまず成功しないでしょう。Vivaldiのような最新状態のブラウザーに対する攻撃であっても、webRequestなどChromiumネットワークAPIを使用することで製品は保護を提供することができるにも関わらず、そうはせず接続傍受を採用しているのです。

接続の傍受は単純に悪いアプローチであり、ソフトウェアによる接続の傍受を許可することを、私たちは推奨しません。 (Tarquin&Takaaki補足:一般ユーザーにとって、接続傍受にはプライベートブラウジングへの影響が計れないという側面があります。端末にログなどの記録を残す場合もあれば、残さない場合もあります。利点が懸念点を上回るようなケースもあります。ペアレンタルコントロールなどは、実際にプライバシーに踏み込めるような設計がなされていますが、ユーザーにとってはそれは良いことであると考えられる場合もあります。いずれにせよ、何が起こり得るかを考慮した上で、サービスの利用に関する決定を行うべきでしょう。)

このシリーズで紹介する、プライバシーとセキュリティに関するさらなるヒントにご期待ください。

メイン画像は、写真サイト「Unsplash」のニコラス・ティソットのものです。

著:ターキン・ジョーンズ 2005年からウェブブラウザーのセキュリティには携わり、2018年からVivaldiに勤務する。1991年以来専門となっている洞窟探検や様々なエキゾチックなペットの世話のため、大いなる野外を探検している最中にお目に掛かることもあるかも。

セキュリティー&プライバシー保護シリーズ

note | Twitter | Facebook | Instagram