ここ数年、Torブラウザの脆弱性が露呈し始めています。一部のハッカーや法執行機関が、主にTorブラウザのベースとなっているFirefoxブラウザの脆弱性を悪用し、匿名ブラウジングツール利用者の身元を突き止めているのです。Firefoxの開発元であるMozillaは、ブラウザに部分的なサンドボックス化を導入するのに6年もかかっています。そのため、Torの開発者は独自のサンドボックス化(他のプロセスからの分離)をソフトウェアに組み込んでいます。より安全なTorブラウザのアルファ版がLinuxで利用可能になりました。
Firefoxのセキュリティ上の欠陥
TorプロジェクトがFirefoxを選んだのは、当時プライバシーを重視していた唯一の主要オープンソースブラウザだったからです。チームは最終的に、プロセスごとのサンドボックスと大規模なセキュリティチームを擁していたChromiumをFirefoxコアベースの代替として検討しました。しかし、匿名性を維持するために必要なAPIがいくつか不足していたこと、そしてGoogleへの信頼の欠如から、Torの開発者はFirefoxを使い続けることにしました。
しかし、FirefoxにはTorの基盤として機能するために必要なセキュリティが欠けていることが明らかになりつつあります。Mozillaは2010年からChromiumに類似したサンドボックスアーキテクチャをFirefoxに導入する取り組みを進めてきましたが、これまでのところ、コンテンツ(タブ)とUIを2つの異なる独立したプロセスに分割する程度しか実現できていません。Mozillaはこのソリューションを今後1年間で改善する予定ですが、現時点では5つ以上のサンドボックスプロセスを有効にする予定はありません。そのため、Firefoxはプロセスごとのサンドボックスモデルを採用しているChromeほど安全になることはないでしょう。
おそらくMozillaは、Firefoxの重要なコンポーネントすべてを、メモリセーフなRustプログラミング言語で記述されたより安全なコンポーネントに最終的に置き換えるでしょう。それだけで、メモリ破損バグのクラス全体が排除されるでしょう。しかし、そのような目標の達成には、少なくとも数年かかるでしょう。
サンドボックス化されたTor
9月初旬、Tor開発者がLinux向けTorブラウザのサンドボックス化を強化したバージョンを発表しました。このプロジェクトでは、ブラウザを「ランチャー」とブラウザ本体の2つの部分に分割しています。ランチャーの機能には、暗号鍵で検証された安全な方法でTorブラウザをダウンロードおよびアップデートすることが含まれます。一方、Torブラウザはコンテナ内で実行され、seccomp-bpfや名前空間といったLinuxサンドボックス機能が適用されます。
Seccomp(セキュアコンピューティングモード)はプロセスのシステムコールを制限し、名前空間はオペレーティングシステムのファイルとリソースへのアクセスを限定的に提供する隔離された環境です。これらの機能は、TorブラウザやFirefoxブラウザで最近発見された脆弱性のような、攻撃者がコンピュータに感染し、標的の実際のIPアドレスを特定するのを助ける脆弱性を悪用する攻撃を軽減します。
このバージョンのTorブラウザは、2つの理由からLinux版のみで利用可能です。1つはプロジェクトが初期段階にあること、もう1つはWindows版にはLinuxと同じサンドボックス機能がないことです。Linux版が十分に安定すれば、開発者はWindows版のTorブラウザも可能な限りサンドボックス化しようと試みるでしょうが、Windows版と同等のセキュリティレベルを実現できるかどうかはまだ明らかではありません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Windows 向け Tor サンドボックス
Microsoftは最近、Windows 10上のブラウザを保護するための、おそらくさらに優れた方法を発表しました。同社はHyper-Vハイパーバイザーを用いて、最小限のWindowsインストール環境を新たに作成し、Edgeをそのコンテナ内で実行します。このコンテナは、Edgeの実行に必要なWindowsサービスのみへのアクセスを許可します。ユーザーが信頼できないページを閉じると、このコンテナは破棄されるため、コンテナ内にダウンロードされた可能性のある悪意のあるファイルは消去されます。
しかし、この「Application Guard」セキュリティ機能は現時点ではWindows 10 Enterpriseのみに提供が約束されており、Windows 10 HomeおよびProユーザーが利用できるかどうかは不明です。また、Microsoftがこのセキュリティ機能を他の非Microsoftアプリケーションでも利用可能にするかどうかも不明です。
当面の間、Windowsユーザーは、ブラウザの脆弱性を悪用した匿名化攻撃を回避したい場合、Linux仮想マシンで新しいサンドボックス化されたTorブラウザを実行することができます。ただし、その時点では、Tor接続とTorブラウザのサンドボックス化とセキュリティ保護に特化した2台のVMソリューションであるWhonixの実行を検討する価値があるかもしれません。Windows向けのよりシンプルなアドホックサンドボックスソリューションとしては、サンドボックス化されたファイルを格納するための独自のファイルシステムを作成するアプリであるSandboxie上でTorを実行することが挙げられます。ただし、他のアプリレベルのソリューションと同様に、Sandboxieもカーネルエクスプロイトに対して脆弱です。
現時点では、ユーザーは新しいサンドボックス化された Tor ブラウザをソース ファイルからコンパイルすることしかできませんが、バイナリ ファイルは今週後半にリリースされる予定です。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
