Essay 87

Mozilla Firefoxのセキュリティ設定

和戸川の関連書籍「サイバー世界戦争の深い闇
2024年5月30日 和戸川 純
高度なプライバシーの保護を目指すFirefox

Mozilla Firefoxの前身はNetscape Navigatorで、このブラウザが1990年代にWebの普及に大きな貢献をした。しかし、後発のInternet Explorerに追い上げられてユーザーが激減。紆余曲折があったが、2004年にMozilla Firefoxがリリースされ、Internet Explorerの代替ブラウザとして地位を固めた。また、Mozilla ThunderbirdがOutlook Expressの代替メールソフトになった。
私の個人的なインターネット史が、このMozillaの歴史に重なる。最初のウェブサイトはNetscape Navigatorでの閲覧に最適化した。Firefoxは軽くて使いやすい上に、カスタマイズの自由度が高い。現在も多用している。また、私が使っているメールソフトはThunderbirdだ。

現在、非営利団体のMozilla Foundationが、Firefoxの開発を管理している。Google ChromeやMicrosoft Edgeとは異なり、プログラムのソースコードが公開されている。コードが何をしているのかを誰でも知ることができる。 このブラウザの開発に関与しているコミュニティメンバーが、世界中に何十万人もいる。バグは迅速に発見され修正されるので、信頼性が高い。

Mozilla Foundationの声明によると、ミッションは以下のように要約される。
「利益よりも人とそのプライバシーを優先し、インターネットを健全で幸せな場にする。怪しいプライバシーポリシーも、広告業者のためのバックドアもない。個人情報を売却することもない」

図1.プライバシー保護の全容

Mozillaのサポートページに、プライバシーを保護するための取り組みが要約されている(図1)。「プライバシーを保護する」でくくられたメニューが長すぎるので、図1では「デスクトップ版Firefoxの強化型トラッキング防止」や「偽装サイトとマルウェアからの防護機能の動作」などの8項目しか示していない。このメニューを下へスクロールして、「最近の履歴を消去する 」、「Firefox パスワードマネージャー」、「サードパーティーのトラッカー 」、「技術サポート詐欺を避け、Mozilla に報告する 」など、21項目に渡る詳細な説明を読むことができる。

プライベートウィンドウで閲覧情報を隠す

通常のウインドウではなく、プライベートウィンドウでブラウザを開くと、閲覧情報を隠すことができる。常にプライベートウィンドウでブラウザを開く設定については、「Google Chromeのセキュリティ設定」を参照していただきたい。
「Fiefoxアイコン」の右クリック>「プロパティ」>「ショートカット」と進む。「リンク先」コードの最後に1字分の半角スペースを入れて、「-private」と入力する。ChromeやEdgeは「-incognito」なので、間違わないようにしていただきたい。

図2.プライベートウィンドウのトップ画面
プライベートウィンドウのトップ画面

図2で示したプライベートウィンドウのトップページに、「プライベートウィンドウを閉じると、検索履歴と閲覧履歴を消去するが、匿名化はしない」という主旨の注意書きがある。その下の「詳細情報」をクリックして、ブラウジング機能の詳細な説明ページへ入ることができる。セキュリティとの関連で重要と思われる指摘は、次の通りだ。

図3.検索候補の表示を停止

図2の画面右上のメニューアイコン「≡」をクリックし、開いたウィンドウで「設定」を選択する。表示されたウィンドウの右上にある「設定を検索」入力フィールドに、「アドレスバー」と入力。図3が表示される。「検索候補」の項目下にある「検索候補を表示する」と、「アドレスバー」の項目下にある、「閲覧履歴」や「ブックマーク」などのチェックボックスのチェックをはずす。

* * * * * * * *

ウィルスなどのマルウェアが侵入してしまうと、プライベートブラウジングが無効になる。IDやパスワードが盗まれる。以下のような症状が出たならば感染を疑う。

マルウェアを検出するために、当記事の最後に挙げたマルウェアスキャンプログラムを使う。

多層構造の防御網でトラッキングを阻止
図4.攻撃阻止設定の入り口

メニューアイコン「≡」>「設定」>「プライバシーとセキュリティ」と進むと、図4が表示される。大項目の「ブラウザープライバシー」の下に「強化型トラッキング防止機能」の説明がある。

ユーザーの個人情報が収集されるトラッキングは、全てが忌むべきものというわけではない。グーグルなどのサービスプロバイダーやショッピングサイトなどによって、日常的に必要なトラッキングが行われている。収集される情報の中には、IDやパスワードなどの重要な個人情報が含まれる。
トラッキングに使われるのはCookieと呼ばれる小さなプログラムで、閲覧しているウェブサイトからユーザーのブラウザへ送り込まれる(「Windows11版Edgeのセキュリティ設定」を参照)。このような特質から、トラッカーに悪意がある場合は、ユーザーに大きな被害が出る可能性がある。

* * * * * * * *

「強化型トラッキング防止機能」は、トラッキングをブロックするばかりか、端末に誤作動を起こすマルウェアからユーザーを保護する。防止機能のレベルを「標準」、「厳格」、「カスタム」の3つのラジオボタンから選択できる。

「標準」
ユーザーが知らない間に閲覧情報を収集する、サードパーティーのCookieがある。ユーザーのオンライン支出や行動パターンなどを分析して、ユーザーの購買意欲を刺激するような宣伝のために使う。包括的 Cookie 保護機能は、Cookie の周囲にフェンスを作って、無関係な他サイト(サードパーティー)がユーザーを追跡できないようにする。ブロックされるのは次の通り。 「プライベートウィンドウ」で閲覧している場合は、「標準」設定で十分に保護されるが、「標準ウィンドウ」の場合は、「厳格」に設定することが望まれる。「標準ウィンドウ」の「標準」設定では、以下の「トラッキングコンテンツ」が阻止されない。
「厳格」
「トラッキングコンテンツ」が阻止され、Cookie削除機能が強化される。
「カスタム」
一部のトラッカーとスクリプトだけを選択的にブロックする。 Cookieのブロックにおいて種々の設定をできる。トラッキング阻止を更に強化するために、アドオンの導入を考える。メニューアイコン「≡」>「アドオンとテーマ」>「アドオンを探す」と進んで、検索ボックスに「uBlock Origin」と入力。表示された候補アドオンから「uBlock Origin」を選択する。「uBlock Origin」は、既知の不正サイトのデータを参照して、怪しいサイトをブロックする。
図5.パスワードを守る

「プライバシーとセキュリティ」のメニューを下へスクロールすると、図5の項目が見つかる。「ウェブサイトのプライバシー設定」でくくられた、「ウェブサイトにユーザーデータの販売や共有の拒否を通知する」も「ウェブサイトに"Do Not Track"要求を送る」もチェックをはずす。このような通知は、ユーザーがアクセスしていることを相手に知らせることになる。

閲覧情報を消去する。「Cookieとサイトデータ」の項目下にある「データを消去」ボタンをクリックし、表示された画面でCookieとキャッシュを消去できる。キャッシュは閲覧情報を一時的に保存する機能を有する。「例外を管理」ボタンをクリックして、サイト毎にCookieとサイトデータの使用許可・不許可の設定をする。

パスワードの安全な保存法

Firefoxではパスワードを暗号化して端末に保存できる。「保存されたパスワード」のボタンをクリックして、端末上でログイン情報を確認することが可能だ。ログインの頻度が高い場合、手間が省ける。

ユーザー名やパスワードを一つのファイルとして保存する場合は、図5の下段にある「マスターパスワードを使用する」にチェックを入れ、ファイルを開くためのマスターパスワードを設定する。この機能を使用するには、「自動的にユーザー名とパスワードを入力する」にチェックを入れなければならない。
私は便宜よりも安全を重視しているので、上のチェックボックスのチェックをはずしている。金融機関やクレジットカードのサイトのログインに必要なIDとパスワードを、私は18組も保持している。それらのログイン情報は紙に書いてあるので、ログイン時に毎回紙を眺めることになる。不便だが、手間暇がかかる原始的なアナログ操作が一番安全だ。

履歴は消去し、不要なアクセスは許可しない
図6.履歴消去と多様なアクセス要求の許可設定

図5の項目「パスワード」の下に図6の「履歴」の項目がある。「Firefoxに」の右にあるプルダウンメニューから「履歴を一切記憶させない」を選択する。その下の「履歴を消去...」ボタンをクリックすると、図7が表示される。

図7.すべての履歴を定期的に消去

「消去する履歴の期間」の右のプルダウンメニューで、「すべての履歴(すべての期間の履歴)」を選択。「履歴」と「データ」の項目でくくられた、「表示したページとダウンロードの履歴」、「現在のログイン情報」、「検索やフォームの入力情報」、「Cookie」、「キャッシュ」、「サイトの設定」、「ウェブサイトのオフライン作業用データ」などの全チェックボックスにチェックを入れる。「今すぐ消去」をクリックすれば、これらの履歴を消去できる。この操作は個人情報を守るために大事なので、定期的にやっていただきたい。

図6に戻って、中項目の「許可設定」がある。その項目でくくられた「位置情報」、「カメラ」、「マイク」などの右にある「設定」ボタンをクリック。特に必要がない限り、表示されたウインドウで「=≠ヨのアクセスの要求をブロックする」にチェックを入れて、アクセスを拒否する。「変更を保存」のボタンのクリックで設定を完了。外部からのアクセスを許可する場合は、上のチェックをはずす。€悟

必要な機能だが攻撃に使われるポップアップ

ポップアップウィンドウとは、ブラウジング中に突然に立ち上がる、別ウィンドウのことだ。ユーザーに対してメッセージや警告を通知するために使われる。ログインや他ページへの移動などにも使われるので、多くのサイトにとって必要な機能だ。しかし、個人情報を漏洩させるスパイウェアや、不要な広告を表示させるアドウェアをインストールさせる、ポップアップがある。閲覧中の画面の前面にポップアップウィンドウが現れ、不愉快な思いをしたユーザーは多いと思う。

図6の最下段にある、「ポップアップウインドウをブロックする」のチェックボックスにチェックを入れ、阻止のための網を大きくかけてしまう。そのままでは、ログインにポップアップウィンドウを使っている金融機関などで、ログインができなくなる。ポップアップの機能が必要なサイトは、「許可サイト...」ボタンをクリックして表示されるページで、そのサイトのURLを入力し、ポップアップを使えるようにする。

Firefoxによる技術的なデータの収集
図8.技術的なデータの収集許可

図6の「許可設定」から更に下へスクロールすると、図8の「Firefoxのデータ収集と利用について」という中項目が見つかる。Firefoxによるデータ収集を止めたい場合は、設定オプションのチェックボックスのチェックをはずす。「Firefoxが技術的な対話データをMozillaへ送信することを許可する」にチェックを入れると、開いているウィンドウ、インストールされているアドオン、OSとハードウェア、メモリー、それにクラッシュに関する情報が、Mozillaへ送信される。
「Firefoxに調査のインストールと実行を許可する」にチェックを入れると、技術的なデータがMozilla へ送信される。「Firefox調査を確認する」のクリックで表示されたウィンドウで、技術データの詳細な説明を読むことができる。

FirefoxのユーザーとしてMozillaへ協力する意味を込めて、私は図8の3項目にチェックを入れた。

深刻な被害をもたらす偽装サイトへの対応

正規のウェブサイトを装う偽装サイトが多々ある。フィッシング攻撃が多用される。アマゾンや宅急便などを装い、情報更新を呼びかけるメールによって、ユーザーを本物そっくりなウェブサイトへ誘導する。偽装サイトと知らずに、IDやパスワード、クレジットカードの番号などを入力すると、これらの情報が窃取されて悪用される。

また、マルウェアや危険なコンテンツをダウンロードさせる、偽装サイトがある。知らずに不正プログラムをダウンロードすると、ユーザーが気づかないうちに、端末がマルウェアに乗っ取られてしまう。その結果、個人情報が窃取されたり、感染端末が、スパムメールを送るための踏み台にされてしまう。

図9.危険なコンテンツのブロックと安全な接続の確保

「プライバシーとセキュリティ」の長いメニューの中程に、図9の中項目「セキュリティ」がある。 いくつかのチェックボックスとラジオボタンで、セキュリティ関連の重要な設定をする。「詐欺コンテンツと危険なソフトウェアからの防護」の下にある、「危険な詐欺コンテンツをブロックする」にチェックを入れる。更に、「危険なファイルのダウンロードをブロックする」と「不要な危険ソフトウェアを警告する」にもチェックを入れて、マルウェアのダウンロードを阻止したり、警告の通知を受け取れるようにする。
この防御能は、ユーザーが訪問したサイトを、既知の偽装サイトやマルウェアサイトのリストと照合して、動作する。このリストは少なくとも30分毎に更新される。

グーグルの検索結果で上位に表示されるHTTPSサイト

図9の中項目に「HTTPS-Onlyモード」がある。その下の3つのラジオボタンから、「すべてのウィンドウでHTTPS-Onlyモードを有効にする」を選択する。

HTTPSサイトではサーバーによる運営者の確認が行われる。更に、サーバーからユーザーのブラウザへの通信が暗号化されるので、不正侵入が阻止される(HTTPS/SSLの証明)。データの改ざん、情報の詐取、盗聴、なりすましなどの防止に有効だ。HTTPSサイトのURLは、「http://」ではなく「https://」で始まる。アクセスしたサイトがHTTPSサイトかどうかは、ブラウザの上部アドレスバーを見れば分かる。当サイトのURLは「https://essay-hyoron.com/」だ。グーグルは、安全性向上のためにHTTPSを重視していて、HTTPSサイトが検索結果で上位に表示される。

「HTTPS-Onlyモードを有効にする」を選択すると、ユーザーがHTTPサイトにアクセスした時、Firefoxがそのサイトを自動的にHTTPSにアップグレードする。しかし、HTTPS-Onlyモードが有効になっていても、 HTTPS バージョンを利用できない場合がある。その場合は、「安全な接続が利用できません」というメッセージが表示される。

図10.ドメインの暗号化で安全確保

図10の中項目「DNS over HTTPS」の下に「状態:使用中」とある。その下の4つのラジオボタンで「オフ」以外を選択すると、この表示になる。ウェブサイトをブラウジングすると、ブラウザがサイトのアドレスであるドメイン(DNS)を辿って、サイトの情報が保存されているサーバーにアクセスする。「DNS over HTTPS」の有効化によって、アクセス先のDNSが暗号化される。アクセスの秘匿性が保たれるので、プライバシーの保護につながる。

ラジオボタンで設定できる保護レベルは次の通り。

セキュリティの要は心構え

ここまで技術的な対策を述べてきたが、それに勝るとも劣らずに大事なのはユーザーの心構えだ。

* * * * * * * *

どれ程注意を払っていても感染は起こる。怪しい気配を感じても、ウイルス対策ソフトでマルウェアを検出できない場合は、以下の一覧にある、フリーのマルウェアスキャンプログラムでシステムをスキャンする。これらのツールの一つひとつで検出できるマルウェアは異なるので、全てのプログラムでのスキャンが必要になる。


広告(Googleアドセンス)