悪意のあるソフトウェアはWindows PCにとって長年、ほぼ毎日のように厄介な存在でしたが、Macユーザーはマルウェアを気にしなくなっています。脅威は時折発生します。例えば今年1月には、AppleのiWorkソフトウェアの海賊版にトロイの木馬が仕込まれたケースがありましたが、最近のMacユーザーのほとんどは、ウイルス対策ソフトウェアをインストールせずにコンピューターを使っているでしょう。
Appleも、広告資料でMacのマルウェア耐性、特にWindowsとの比較を頻繁に宣伝することで、この習慣を助長してきました。しかし、Mac OS X 10.6(Snow Leopard)のリリースにより、Appleはついにマルウェア対策をさりげなく強化することを決定しました。これは、Safariのフィッシング対策機能で過去に行ってきたこととよく似ています。Mac OSに初めて、悪意のあるソフトウェアを検出し、ユーザーが意図せずコンピュータに損害を与えないように保護するシステムが組み込まれました。
どのように機能しますか?
AppleはMac OS X 10.4以降、「ファイル検疫」と呼ばれるダウンロード検証システムをOSに組み込みました。OS X 10.5(Leopard)では、メール、Safari、iChat経由でインターネットからダウンロードしたファイルをユーザーが初めて開いた際に、ダイアログボックスが表示されるという形で最も頻繁に表示されるようになりました。この警告は、どのアプリケーションが、どのサイトから、いつファイルをダウンロードしたかを示し、ユーザーはファイルを開くか、キャンセルするか、ダウンロード元のWebページを表示するかを選択することができました。
Snow Leopardでは、Appleはファイル隔離機能を拡張し、System/Library/Core Services/CoreTypes.bundle/Contents/Resources/XProtect.plistにあるマルウェア定義リストからファイルを取得し、既知のマルウェアの有無もチェックするようになりました。本稿執筆時点では、このファイルには2つの定義のみが含まれています。2007年に初めて発見されたトロイの木馬型マルウェア「OSX.RSPlug.A」と、前述の海賊版iWorkインストーラに埋め込まれたマルウェア「OSX.iService」です。ただし、AppleはMacworldに対し、定義リストはソフトウェア・アップデートで更新できると述べています。
感染したファイルを開こうとすると、Snow Leopard はより強い警告を表示し、ファイルがコンピュータに損害を与える可能性があると伝え、ファイルをゴミ箱に移動することを提案します。ダウンロード確認ダイアログボックスと同様に、続行またはキャンセルのオプションがありますが、ファイルがディスクイメージ上にある場合は、イメージを取り出すボタンがあります。一方、ファイルがすでにハードドライブ上にある場合は、そのボタンをクリックすると、ファイルをゴミ箱に移動するように促されます。Safari の環境設定で「ダウンロード後に“安全な”ファイルを開く」を有効にしている場合は、ダウンロードが完了してファイルを開くと、自動的にダイアログボックスが表示されます。より一般的な警告とは異なり、マルウェアの警告は最初のインスタンスで消えず、ファイルを開くたびに再表示されます。
ファイル隔離機能は、信頼できないソースからダウンロードされたファイルのゲートキーパーとして主に機能しているようです。ユーザーとインターネットの未開の地との間のレイヤーと考えてください。Snow Leopard では、ダウンロードしたファイルを「隔離」(インターネットからダウンロードされたことを示すマーク)するアプリケーションの拡張リストが定義されています。そのため、Web ブラウザー(Safari、Internet Explorer、Firefox、OmniWeb、Opera、Mozilla、Camino など)や電子メール クライアント(Mail、Entourage、Thunderbird)経由でファイルをダウンロードした場合、または iChat 経由でファイルを受信した場合、ファイルを開くときにマルウェアがチェックされます。ただし、FTP サイト、BitTorrent などのファイル共有サービス、または Apple のシステムでカバーされていないプログラムなど、別のソースから感染したファイルを入手した場合は運が悪く、システムはそれを検出しません。
最も重要なのは、Appleのシステムには、Macが感染した後に悪意のあるソフトウェアを駆除する手段がないように見えることです。そのため、サードパーティ製のウイルス対策製品に頼る必要があるようです。
それは機能しますか?
当社のテストでは、マルウェアシステムは、OSX.RSPlug トロイの木馬に感染したファイルを開こうとした際に、このトロイの木馬を検知しました。ファイルがディスクイメージ上にあってもコンピュータのハードディスク上にあっても、Apple のシステムがチェックするアプリケーションのいずれかを介してコンピュータにダウンロードされていれば、ダイアログボックスが表示されました。
Apple はマルウェアに関する情報を記録するために拡張属性 (ファイルのメタデータを保存) を使用するためcom.apple.quarantine、その情報は実際には Mac から Mac へと移動できます。ただし、メタデータがファイルに残るかどうかは、ファイルの転送方法によって異なります。OS X のファイルシステム (たとえばフラッシュドライブ) 経由でコピーされた場合、または Finder に組み込まれているファイル共有経由でコピーされた場合、マルウェアマークは、ヘスター・プリンの大きな赤いAのようにファイルに刻印されたままになります。ただし、ファイルを別の方法 (たとえば FTP 経由) で転送すると、そのメタデータは失われます。(例外が 1 つあります。OS X に組み込まれている圧縮ツールを使用してファイルを zip 圧縮すると、FTP 経由でファイルを転送した場合でも隔離属性が保持されます。)
もちろん、マルウェア対策の有効性は定義の充実度にかかっています。AppleがSnow Leopardのウイルス定義をどのくらいの頻度でアップデートする予定なのかは不明です。こうしたアップデートは、現在のセキュリティパッチと同様に、セキュリティアップデートやポイントリリースにバンドルされる可能性があります。新たな脅威の発生に合わせてアドホックに提供されるか、ソフトウェアアップデートを通じてより定期的なアップデートとして提供されるかのいずれかです。Appleは過去にセキュリティ脅威への対応が遅いと批判されてきたため、この新しいシステムをどのように扱うかはまだ不明です。
これらすべては一体何を意味するのでしょうか?
OS Xにマルウェア対策機能が組み込まれた今、Macユーザーにとってこれは何を意味するのでしょうか? では、それが意味しないことをいくつか挙げてみましょう。
これは、マルウェアの洪水が突然 Mac OS X を圧倒するという意味ではありません。確かに、Apple がマルウェア対策システムを統合したことは、Mac OS X が悪意のあるソフトウェアから完全に免れているわけではないことを暗黙のうちに認めていることになりますが、同社の対応は、迫り来る悪質なソフトウェアの波に対する反応というよりは、慎重な予防措置と言えます。
また、 Macユーザーが安全を全く気にせず、好き勝手にファイルをダウンロードしても良いということではありません。いつものように、使用しているプラットフォームに関わらず、すべてのコンピュータユーザーは、信頼できるソースからファイルをダウンロードし、知らない送信者からのメールの添付ファイルを開かず、アカウントに強力なパスワードを設定するなど、一定の予防措置を講じる必要があります。マルウェア対策ソフトウェアは、不意打ちを食らうことを防ぐことはできますが、無責任な行動を許すわけではありません。車の警報装置が付いているからといって、わざわざ危険な地域に車を駐車しなければならないのと同じです。
また、 SymantecやIntegoのようなサードパーティ製ウイルス対策ソフトウェアメーカーが倒産するわけではありません。Appleが既存のソフトウェア分野に参入する際には、こうした懸念がしばしば生じますが、AppleはMacworldの取材に対し、「この機能はウイルス対策ソフトウェアを置き換える、あるいは代替するものではなく、現在Mac向けに存在している少数の既知のトロイの木馬型アプリケーションに対する一定の保護を提供するものです」と述べています。Snow Leopardの保護機能は、マルウェアを駆除するものではなく、予防策に近いものです。
まとめると、このセキュリティ強化はほとんどのMacユーザー、特に長らくウイルス対策ソフトを避けてきたユーザーにとって朗報です。これまでにないレベルの保護が実現したのです。完全防備ではありませんが、次に贈り物の馬の口を覗き込む時、少なくともギリシャの戦士がいっぱいいるかどうかは分かるでしょう。
