Firefoxに対する攻撃を防御、WebAssemblyを利用したサンドボックスが役立つ：Windows版にも適用可能

「WebAssembly」を使ってWebブラウザをサイバー攻撃から保護する仕組みをテキサス大学の研究者らが開発した。現在は「Firefox」で効果を検証しており、今後は全面的に適用される見込みがあるという。

[＠IT]

　Webブラウザに対するサイバー攻撃を防ぐ仕組みを大学の研究チームらが開発、2020年2月25日にサンドボックスを利用した保護策を発表した。

　開発したのはテキサス大学オースティン校やカリフォルニア大学サンディエゴ校、スタンフォード大学、Mozillaの研究者のチーム。

　Webブラウザのコードの一部を“安全なサンドボックス”に移すことで、悪意あるコードによるユーザーPCの乗っ取りを防ぐ仕組みだ。既に「Mozilla Firefox」のうち、Linux版のテストリリースに導入済みだ。

　具体的にはWeb標準のプログラミング言語「WebAssembly」を利用する。WebAssemblyは、Webブラウザで実行できるコードを作成できるポータブルな低レベル言語。

どのように機能するのか

テキサス大学のホバブ・シャカム氏　カリフォルニア大学サンディエゴ校コンピュータサイエンスエンジニアリング学部の大学院生シュラバン・ナラヤン氏、同助教授のディアン・ステファン氏とともに、研究の共同リーダーを務めた

　Webブラウザは、画像やビデオ、オーディオなどのメディアファイルをレンダリングする処理を進めるために、ライブラリを使用する。だが、こうしたライブラリには、未報告の脆弱（ぜいじゃく）性がある場合が少なくない。これがサイバー攻撃のきっかけになる。

　テキサス大学オースティン校のコンピュータサイエンス教授を務めるホバブ・シャカム氏は次のように指摘する。

　「モダンなWebブラウザには、非常に危険な側面がある。豊富な機能を提供するが、機能が多いほど、脆弱性も多くなる。脆弱性が多いほど、攻撃者がユーザーのデバイスを侵害する可能性も大きくなる」

　ハッカーによる脆弱性の悪用を防ぐため、研究チームはWebAssemblyを採用した。WebAssemblyは、元々、Webブラウザ上で動作するWebアプリケーションのパフォーマンスを高めるために開発された。同時にセキュリティを高めるための仕組みも取り入れている。Webアプリケーションを“安全なサンドボックス”に配置し、悪意あるコードによるユーザーPCの乗っ取りを防ぐメカニズムを提供する。

　WebAssemblyを利用するアプリケーションにはさまざまな種類がある。ゲームや音楽のストリーミング、動画編集、暗号化、画像認識などの機能を備えたアプリケーションだ。

　研究チームのアプローチでは、新たに「RLBoxフレームワーク」を使用する。RLBoxフレームワークでは、Webブラウザの内部コンポーネントの一部（メディアファイルのデコードを行う）をWebAssemblyサンドボックスに移す。

Firefoxの保護はどのように進むのか、Windows版にも適用可能