Firejailとは

Firejailとは、Linuxシステムでサンドボックスを作成するためのオープンソースソフトウェアである。GNU General Public License v2.0 の元で公開されている。

サンドボックスとは、コンピュータシステムの中に隔離された領域を作成し、その内部で特定のプログラムを動作させる技術のことである。サンドボックスの中でコンピュータに被害を及ぼす可能性があるプログラムを実行すれば、コンピュータウィルス等の悪意のあるプログラムが実行されても、その被害をサンドボックスの中だけに限定することができ、利用者は安心してプログラムを利用できるようになる。

Firejailの仕組み

Firejailは、Linuxの標準機能であるLinux名前空間(Linux namespace)とseccomp-bpfを利用してサンドボックスを実現している。

Linux名前空間(Linux namespace)

Linux名前空間(Linux namespace)は、特別に区切られた空間を作成する機能である。この空間の中ではプロセス管理テーブルやユーザ・グループが独立して管理されているように見える。アプリケーションを起動するための環境(プログラムファイルや設定ファイル等)は、サンドボックス外のリソースをそのまま利用できる。

このため、利用者はアプリケーションをサンドボックス内で使用するための特別な設定を準備する必要がなく、容易にサンドボックスを利用することができる。

seccomp-bpf

seccomp-bpf(Secure Computing Berkeley Packet Filter)は、サンドボックス内で実行されるプロセスが発行するシステムコールの制限を行うための機能である。この機能を利用することで、サンドボックスからLinuxシステムへのアクセスを制限することができる。サンドボックス内で起動するプロセスが外部からの攻撃等によりLinuxシステムに悪い影響を与える動作をしたとしても、その影響を限定することができるため、安全なシステムを構築することができる。

Firejailの利用方法

"firejail アプリケーション" のように起動すると、アプリケーションがサンドボックス内で起動される。例えば、ウェブブラウザのfirefoxをサンドボックス内で起動するには "firejail firefox" と指定する。

また、アプリケーション毎にFirejailのプロファイル(設定情報を記載するファイル)を作成しておけば、その設定に従ってサンドボックスが作成される。複雑な設定を行う必要がないため、利用者は容易で便利にサンドボックスを利用することができる。

課題とサンドボックスでの対策

インターネットの利用は欠かせないものになっているが、一方、標的型攻撃メール、悪意のあるウェブサイトへの誘導、ソフトウェアの脆弱性を狙った攻撃等の脅威にさらされることも事実である。このような攻撃を許してしまうと、情報漏洩等による大きな被害を受けてしまうことがあるため、その被害を最小限に限定するための仕組みが必要とされている。

攻撃を許してしまっても、その被害を受けない対策として、サンドボックスを利用することができる。攻撃を受ける可能性があるアプリケーションをサンドボックス内で起動するようにすると、攻撃を許してしまっても情報漏洩等の大きな被害を防止することができる。

デージーネットの取り組み

デージーネットでは、SaMMA(デージーネット製オープンソースソフトウェア)を使用したメール無害化ソリューションを提案しており、そのソリューションでFirejailを利用している。Firejailを使用してサンドボックスを作成し、その中でSaMMAを起動することで、有害なコンテンツを含む可能性があるメールを安全に扱うことができる。Firejailを利用することで、より安全なメール無害化ソリューションを提供できるようになった。