Mountain Lionのゴールドマスターが開発者に配布され、Mac App Storeへの登場が迫っています。この新しいオペレーティングシステムには、Mac OS Xユーザーを悪意のあるソフトウェアから保護するために設計されたAppleのセキュリティ機能、Gatekeeperが搭載されます。しかし、GatekeeperはMacユーザーにとって実際には何を意味するのでしょうか?ソフトウェアのダウンロードを完全に安全にしてくれるのでしょうか?知っておくべきことをご紹介します。
ゲートキーパーとは何ですか?
Mac OS X 10.8 Mountain Lionでは、Gatekeeperが自動的にデフォルト設定となり、Mac App Storeからダウンロードしたソフトウェアと、Apple Developer IDを持つ開発者によってデジタル署名された証明書を持つソフトウェアのみをダウンロードできるようになります。Appleのウェブサイトには、「Developer IDにより、Gatekeeperはマルウェア開発者によって作成されたアプリをブロックし、アプリが改ざんされていないことを検証できます」と記載されています。
Gatekeeper は、前述のデフォルト モード、ユーザーが Mac App Store からのみアプリケーションをダウンロードできる厳格なモード、Apple が聞いたことのない開発者のアプリケーションも含め、あらゆるソースからソフトウェアをダウンロードできる緩和モードの 3 つのモードで実行できます。
Mountain Lion の Gatekeeper は OS X ユーザーと開発者にどのような影響を与えますか?
2月にAppleがMountain Lionを突然発表したとき、Macコミュニティ全体の開発者はMac OS Xの新バージョンに驚きはなかったものの、慎重な姿勢を見せた。
「GatekeeperがMac OS Xユーザーにどのような影響を与えるかは、導入時期と、開発者がアプリケーションのデジタル証明書取得プロセスにどう適応するかによって決まります」と、Kaspersky Labの研究員マルタ・ヤヌス氏はMacworldに語った。「開発者の中には、このプロセスを不便だと感じる人や、料金を支払いたい人もいるでしょう。そのような開発者は、Mac Developer Programにサインインする代わりに、ユーザーに署名のないソフトウェアのインストールを一時的に許可するよう求めるかもしれません。ユーザーが、実行したいアプリケーションのほとんどがそのような操作を必要とすることに気づけば、Gatekeeperの設定を恒久的に変更し、本来提供されるべき保護機能を無効にする可能性があります。」
「すべてが計画通りに進めば、大きな影響はないはずだ」とソフォスのシニアセキュリティアドバイザー、チェスター・ウィズニエフスキー氏は語った。
「App Storeからであろうとなかろうと、署名済みのアプリケーションの実行を許可するというAppleの選択は賢明だ」とウィズニエフスキー氏は続けた。「ソフォスをはじめとするほとんどのソフトウェアベンダーは、Mountain Lionのリリースに先立ち、適切に署名されたパッケージをリリースしている。」
ウィズニエフスキー氏は、「ハッカーっぽい」MacユーザーはGatekeeperでより多くの問題を経験する可能性があると指摘したが、そうしたユーザーはおそらくこの機能を無効にする方法を知っており、そうすることのリスクも理解しているだろうとも強調した。
Avast! プログラムマネージャーのジャン・ガフーラ氏もウィズニエフスキー氏の意見に同意した。「Macユーザーの中には、App Store以外のツールに頼るパワーユーザーもいると思います」と彼は述べた。「こうしたユーザーは、Gatekeeperを無効にするか、発売日からしばらくの間、Mountain Lionにアップデートしないでしょう。」
「Mac向けのオープンソースおよび無料ツールがすべて適切に署名されるまでには、しばらく時間がかかるでしょう」とガフーラ氏は続けた。「しかし、大多数のユーザーにとって、マイナスの変化は全くありません。」
Gatekeeper はウイルス対策ソフトウェアの代替になりますか?
マルウェア対策機能の増加により、Mountain Lionは一部のMacユーザーに誤った安心感を与える可能性があります。しかし、Apple自身もMacを狙うマルウェアが増加していることを認めているようで、最近ウェブサイトを修正し、「MacはPCウイルスに感染しない」という主張を撤回しました。現在、Appleの「Macを好きになる理由」のウェブページには、「Macは安全のために作られています」と記載されています。
チェスター・ウィズニエフスキー氏は、Gatekeeperはウイルス対策ソフトの代替ではないと述べた。同氏は、この機能は「犯罪者がユーザーを騙してトロイの木馬をダウンロードさせることを困難にするはずだが、ブラウザの脆弱性を悪用した攻撃やUSBメモリの脅威などから保護するものではない」と考えている。
「Appleは、悪用された証明書は禁止されると主張しています」とガフーラ氏は述べた。「ゲートキーパーの禁止証明書リストが速やかに更新されることを願っています。アバスト!のウイルス定義ファイルは、ストリーミングアップデート技術を使えば5分ごとに更新できます。」
「Macのセキュリティを侵害するために使われる攻撃ベクトルは、アプリケーションだけではありません」とガフーラ氏はユーザーに警告します。「一般的な正規ソフトウェアにも、Gatekeeperを回避してディスクにマルウェアをドロップできる脆弱性が存在する可能性があります。」
カスペルスキー研究所のヤヌス氏は、Gatekeeperは「ユーザーの安全性をある程度向上させるが、リスクを完全に排除するわけではない」と述べた。
「サイバー犯罪者は、常に強化される保護対策と戦うことに慣れており、これまでのところ、巧妙な回避策を巧みに見つけ出してきた」とヤヌス氏は警告する。「Gatekeeperは、Mac OS Xマルウェアの開発を阻止するだけでなく、ユーザーの安全性も向上させる、新たなセキュリティ機能と言えるでしょう。Gatekeeperの設定を変更して信頼できないソフトウェアをインストールすることは依然として可能なため、サイバー犯罪者はユーザーを騙してインストールさせたり、脆弱性を見つけて自らインストールを実行したりするかもしれません。」
「最近のWindowsマルウェアの多くはデジタル署名されています」とJanus氏は明らかにした。「この事実は、サイバー犯罪者にとって有効な証明書を盗んだり入手したりすることが不可能ではないことを示しています。」
Apple Developer ID で署名されたアプリケーションは完全に安全でしょうか?
セキュリティ専門家によると、たとえユーザーが Mountain Lion の Gatekeeper 設定をデフォルトの Mac App Store と Apple 承認の開発者権限に設定したままにしていたとしても、署名された証明書は依然として 100% 信頼できないという。
「IT業界において『完全に安全』などというものは存在しないと考えています」とヤヌス氏は述べた。「もちろん、サイバー犯罪者がマルウェアに署名を取得するのはより困難になるでしょうが、完全に不可能になるとは考えていません。」
「サイバー犯罪者は、正規ユーザーから証明書を盗んだり、偽のIDや盗まれたIDでMac開発者プログラムにサインインしたりして、Appleに発見されて禁止される前に十分なマルウェアを拡散させようとする可能性がある」とJanus氏は説明した。
ソフォスのチェスター・ウィズニエフスキー氏は、ゲートキーパーは「ソフトウェアの開発者が正当であると検証されていることを示唆するものの、いかなるフィルタリングも伴わない」と述べた。
「犯罪者がマルウェアに署名するための証明書を入手すれば、そのまま署名を破棄できます」とウィズニエフスキー氏は続けた。「これらのアプリケーションには、悪意のあるコンテンツを読み込むために悪用される可能性のある脆弱性が含まれている可能性もあります。」
「強制コード署名は、セキュリティ戦争を別の分野、つまり証明書のセキュリティへと移行させます」とavast!のガフラ氏は述べています。「貴重な秘密鍵は、セキュリティレベルの高いマシンに保存されることになります。コード署名に盲目的に頼ることは、偽りのセキュリティ意識を抱かせることになり、証明書が盗難された場合、コード署名はユーザーに対する武器となります。」
Appleは正しい道を歩んでいるが、Macはまだマルウェアに感染する可能性がある
全体的に、セキュリティ専門家は、Apple がセキュリティの脅威を無視していないことを喜んでいるが、マルウェアのリスクに注意することが依然として重要であることを Mac ユーザーに注意喚起したいと考えている。
「Flashfake、SapPub、MacControlといった最近のマルウェア事例は、MacOS Xがかつて一部の人が考えていたほど攻撃を受けにくいわけではないことを裏付けています」とヤヌス氏は述べた。「Macを狙うマルウェアがほとんど存在しなかった時代は過ぎ去り、市場シェアの継続的な拡大に伴い、サイバー犯罪者がこのプラットフォームを標的とする関心はますます高まると予想されます。」
「Appleがポリシーを変更し、セキュリティ問題により重点的に取り組み始めたのは本当に良いことです」とヤヌス氏は述べた。「しかし、まだ道のりは長く、デジタル署名と毎日のアップデートチェックは、システムセキュリティへの第一歩に過ぎません。結局のところ、すべてはユーザー次第です。セキュリティアップデートをインストールしない選択をすることも、Gatekeeperの設定を変更することもできるからです。」
「AppleがOS Xをより安全な場所にするために追加措置を講じているのは素晴らしいことです」とウィズニエフスキー氏は同意した。「アップデートのチェック頻度の向上とGatekeeperは、その実現に向けた土台を築いていますが、油断して誰かが守ってくれると期待してはいけません。安全なネットサーフィン、アンチウイルスソフトの実行、メールの添付ファイルのリンクをクリックしないことは、依然として重要です。」
「Gatekeeperは間違いなく正しい方向への一歩です。コード署名は、一般的にアンチウイルスソフトウェアのスキャン速度向上に役立ちます」とガフーラ氏は結論付けました。「また、一般的な犯罪者が利益をもたらすマルウェアを発行するのも困難になります。ただ、万能薬を信じてはいけません。」
