Mozilla Firefoxのセキュリティ設定

Mozilla Firefoxの前身はNetscape Navigatorで、このブラウザが1990年代にWebの普及に大きな貢献をした。しかし、後発のInternet Explorerに追い上げられてユーザーが激減。紆余曲折があったが、2004年にMozilla Firefoxがリリースされ、Internet Explorerの代替ブラウザとして地位を固めた。また、Mozilla ThunderbirdがOutlook Expressの代替メールソフトになった。
私の個人的なインターネット史が、このMozillaの歴史に重なる。最初のウェブサイトはNetscape Navigatorでの閲覧に最適化した。Firefoxは軽くて使いやすい上に、カスタマイズの自由度が高い。現在も多用している。また、私が使っているメールソフトはThunderbirdだ。

現在、非営利団体のMozilla Foundationが、Firefoxの開発を管理している。Google ChromeやMicrosoft Edgeとは異なり、プログラムのソースコードが公開されている。コードが何をしているのかを誰でも知ることができる。 このブラウザの開発に関与しているコミュニティメンバーが、世界中に何十万人もいる。バグは迅速に発見され修正されるので、信頼性が高い。

Mozilla Foundationの声明によると、ミッションは以下のように要約される。
「利益よりも人とそのプライバシーを優先し、インターネットを健全で幸せな場にする。怪しいプライバシーポリシーも、広告業者のためのバックドアもない。個人情報を売却することもない」

Mozillaのサポートページに、プライバシーを保護するための取り組みが要約されている（図１）。「プライバシーを保護する」でくくられたメニューが長すぎるので、図１では「デスクトップ版Firefoxの強化型トラッキング防止」や「偽装サイトとマルウェアからの防護機能の動作」などの８項目しか示していない。このメニューを下へスクロールして、「最近の履歴を消去する 」、「Firefox パスワードマネージャー」、「サードパーティーのトラッカー 」、「技術サポート詐欺を避け、Mozilla に報告する 」など、２１項目に渡る詳細な説明を読むことができる。

通常のウインドウではなく、プライベートウィンドウでブラウザを開くと、閲覧情報を隠すことができる。常にプライベートウィンドウでブラウザを開く設定については、「Google Chromeのセキュリティ設定」を参照していただきたい。
「Fiefoxアイコン」の右クリック＞「プロパティ」＞「ショートカット」と進む。「リンク先」コードの最後に１字分の半角スペースを入れて、「-private」と入力する。ChromeやEdgeは「-incognito」なので、間違わないようにしていただきたい。

図２で示したプライベートウィンドウのトップページに、「プライベートウィンドウを閉じると、検索履歴と閲覧履歴を消去するが、匿名化はしない」という主旨の注意書きがある。その下の「詳細情報」をクリックして、ブラウジング機能の詳細な説明ページへ入ることができる。セキュリティとの関連で重要と思われる指摘は、次の通りだ。

図２の画面右上のメニューアイコン「≡」をクリックし、開いたウィンドウで「設定」を選択する。表示されたウィンドウの右上にある「設定を検索」入力フィールドに、「アドレスバー」と入力。図３が表示される。「検索候補」の項目下にある「検索候補を表示する」と、「アドレスバー」の項目下にある、「閲覧履歴」や「ブックマーク」などのチェックボックスのチェックをはずす。

ウィルスなどのマルウェアが侵入してしまうと、プライベートブラウジングが無効になる。IDやパスワードが盗まれる。以下のような症状が出たならば感染を疑う。

マルウェアを検出するために、当記事の最後に挙げたマルウェアスキャンプログラムを使う。

メニューアイコン「≡」＞「設定」＞「プライバシーとセキュリティ」と進むと、図４が表示される。大項目の「ブラウザープライバシー」の下に「強化型トラッキング防止機能」の説明がある。

ユーザーの個人情報が収集されるトラッキングは、全てが忌むべきものというわけではない。グーグルなどのサービスプロバイダーやショッピングサイトなどによって、日常的に必要なトラッキングが行われている。収集される情報の中には、IDやパスワードなどの重要な個人情報が含まれる。
トラッキングに使われるのはCookieと呼ばれる小さなプログラムで、閲覧しているウェブサイトからユーザーのブラウザへ送り込まれる（「Windows11版Edgeのセキュリティ設定」を参照）。このような特質から、トラッカーに悪意がある場合は、ユーザーに大きな被害が出る可能性がある。

「強化型トラッキング防止機能」は、トラッキングをブロックするばかりか、端末に誤作動を起こすマルウェアからユーザーを保護する。防止機能のレベルを「標準」、「厳格」、「カスタム」の３つのラジオボタンから選択できる。

●「標準」 ●「厳格」 ●「カスタム」

「プライバシーとセキュリティ」のメニューを下へスクロールすると、図５の項目が見つかる。「ウェブサイトのプライバシー設定」でくくられた、「ウェブサイトにユーザーデータの販売や共有の拒否を通知する」も「ウェブサイトに"Do Not Track"要求を送る」もチェックをはずす。このような通知は、ユーザーがアクセスしていることを相手に知らせることになる。

閲覧情報を消去する。「Cookieとサイトデータ」の項目下にある「データを消去」ボタンをクリックし、表示された画面でCookieとキャッシュを消去できる。キャッシュは閲覧情報を一時的に保存する機能を有する。「例外を管理」ボタンをクリックして、サイト毎にCookieとサイトデータの使用許可・不許可の設定をする。

Firefoxではパスワードを暗号化して端末に保存できる。「保存されたパスワード」のボタンをクリックして、端末上でログイン情報を確認することが可能だ。ログインの頻度が高い場合、手間が省ける。

ユーザー名やパスワードを一つのファイルとして保存する場合は、図５の下段にある「マスターパスワードを使用する」にチェックを入れ、ファイルを開くためのマスターパスワードを設定する。この機能を使用するには、「自動的にユーザー名とパスワードを入力する」にチェックを入れなければならない。
私は便宜よりも安全を重視しているので、上のチェックボックスのチェックをはずしている。金融機関やクレジットカードのサイトのログインに必要なIDとパスワードを、私は１８組も保持している。それらのログイン情報は紙に書いてあるので、ログイン時に毎回紙を眺めることになる。不便だが、手間暇がかかる原始的なアナログ操作が一番安全だ。

図５の項目「パスワード」の下に図６の「履歴」の項目がある。「Firefoxに」の右にあるプルダウンメニューから「履歴を一切記憶させない」を選択する。その下の「履歴を消去．．．」ボタンをクリックすると、図７が表示される。

「消去する履歴の期間」の右のプルダウンメニューで、「すべての履歴（すべての期間の履歴）」を選択。「履歴」と「データ」の項目でくくられた、「表示したページとダウンロードの履歴」、「現在のログイン情報」、「検索やフォームの入力情報」、「Cookie」、「キャッシュ」、「サイトの設定」、「ウェブサイトのオフライン作業用データ」などの全チェックボックスにチェックを入れる。「今すぐ消去」をクリックすれば、これらの履歴を消去できる。この操作は個人情報を守るために大事なので、定期的にやっていただきたい。

図６に戻って、中項目の「許可設定」がある。その項目でくくられた「位置情報」、「カメラ」、「マイク」などの右にある「設定」ボタンをクリック。特に必要がない限り、表示されたウインドウで「＝≠ﾖのアクセスの要求をブロックする」にチェックを入れて、アクセスを拒否する。「変更を保存」のボタンのクリックで設定を完了。外部からのアクセスを許可する場合は、上のチェックをはずす。€悟

ポップアップウィンドウとは、ブラウジング中に突然に立ち上がる、別ウィンドウのことだ。ユーザーに対してメッセージや警告を通知するために使われる。ログインや他ページへの移動などにも使われるので、多くのサイトにとって必要な機能だ。しかし、個人情報を漏洩させるスパイウェアや、不要な広告を表示させるアドウェアをインストールさせる、ポップアップがある。閲覧中の画面の前面にポップアップウィンドウが現れ、不愉快な思いをしたユーザーは多いと思う。

図６の最下段にある、「ポップアップウインドウをブロックする」のチェックボックスにチェックを入れ、阻止のための網を大きくかけてしまう。そのままでは、ログインにポップアップウィンドウを使っている金融機関などで、ログインができなくなる。ポップアップの機能が必要なサイトは、「許可サイト．．．」ボタンをクリックして表示されるページで、そのサイトのURLを入力し、ポップアップを使えるようにする。

図６の「許可設定」から更に下へスクロールすると、図８の「Firefoxのデータ収集と利用について」という中項目が見つかる。Firefoxによるデータ収集を止めたい場合は、設定オプションのチェックボックスのチェックをはずす。「Firefoxが技術的な対話データをMozillaへ送信することを許可する」にチェックを入れると、開いているウィンドウ、インストールされているアドオン、OSとハードウェア、メモリー、それにクラッシュに関する情報が、Mozillaへ送信される。
「Firefoxに調査のインストールと実行を許可する」にチェックを入れると、技術的なデータがMozilla へ送信される。「Firefox調査を確認する」のクリックで表示されたウィンドウで、技術データの詳細な説明を読むことができる。

FirefoxのユーザーとしてMozillaへ協力する意味を込めて、私は図８の３項目にチェックを入れた。

正規のウェブサイトを装う偽装サイトが多々ある。フィッシング攻撃が多用される。アマゾンや宅急便などを装い、情報更新を呼びかけるメールによって、ユーザーを本物そっくりなウェブサイトへ誘導する。偽装サイトと知らずに、IDやパスワード、クレジットカードの番号などを入力すると、これらの情報が窃取されて悪用される。

また、マルウェアや危険なコンテンツをダウンロードさせる、偽装サイトがある。知らずに不正プログラムをダウンロードすると、ユーザーが気づかないうちに、端末がマルウェアに乗っ取られてしまう。その結果、個人情報が窃取されたり、感染端末が、スパムメールを送るための踏み台にされてしまう。

「プライバシーとセキュリティ」の長いメニューの中程に、図９の中項目「セキュリティ」がある。 いくつかのチェックボックスとラジオボタンで、セキュリティ関連の重要な設定をする。「詐欺コンテンツと危険なソフトウェアからの防護」の下にある、「危険な詐欺コンテンツをブロックする」にチェックを入れる。更に、「危険なファイルのダウンロードをブロックする」と「不要な危険ソフトウェアを警告する」にもチェックを入れて、マルウェアのダウンロードを阻止したり、警告の通知を受け取れるようにする。
この防御能は、ユーザーが訪問したサイトを、既知の偽装サイトやマルウェアサイトのリストと照合して、動作する。このリストは少なくとも３０分毎に更新される。

図９の中項目に「HTTPS-Onlyモード」がある。その下の３つのラジオボタンから、「すべてのウィンドウでHTTPS-Onlyモードを有効にする」を選択する。

HTTPSサイトではサーバーによる運営者の確認が行われる。更に、サーバーからユーザーのブラウザへの通信が暗号化されるので、不正侵入が阻止される（HTTPS/SSLの証明）。データの改ざん、情報の詐取、盗聴、なりすましなどの防止に有効だ。HTTPSサイトのURLは、「http://」ではなく「https://」で始まる。アクセスしたサイトがHTTPSサイトかどうかは、ブラウザの上部アドレスバーを見れば分かる。当サイトのURLは「https://essay-hyoron.com/」だ。グーグルは、安全性向上のためにHTTPSを重視していて、HTTPSサイトが検索結果で上位に表示される。

「HTTPS-Onlyモードを有効にする」を選択すると、ユーザーがHTTPサイトにアクセスした時、Firefoxがそのサイトを自動的にHTTPSにアップグレードする。しかし、HTTPS-Onlyモードが有効になっていても、 HTTPS バージョンを利用できない場合がある。その場合は、「安全な接続が利用できません」というメッセージが表示される。

図１０の中項目「DNS over HTTPS」の下に「状態：使用中」とある。その下の４つのラジオボタンで「オフ」以外を選択すると、この表示になる。ウェブサイトをブラウジングすると、ブラウザがサイトのアドレスであるドメイン（DNS）を辿って、サイトの情報が保存されているサーバーにアクセスする。「DNS over HTTPS」の有効化によって、アクセス先のDNSが暗号化される。アクセスの秘匿性が保たれるので、プライバシーの保護につながる。

ラジオボタンで設定できる保護レベルは次の通り。

ここまで技術的な対策を述べてきたが、それに勝るとも劣らずに大事なのはユーザーの心構えだ。

どれ程注意を払っていても感染は起こる。怪しい気配を感じても、ウイルス対策ソフトでマルウェアを検出できない場合は、以下の一覧にある、フリーのマルウェアスキャンプログラムでシステムをスキャンする。これらのツールの一つひとつで検出できるマルウェアは異なるので、全てのプログラムでのスキャンが必要になる。

---