最近、macOSでAppleの組み込みサポートを超えて悪意のあるアクティビティをブロックし、ファイルを保護できる新しいツールがいくつか登場することに気づきました。それ以来、Little Flockerというパッケージを徹底的にテストし、BlockBlockという別のパッケージも熱心に検討しています。
Apple は、コンピュータを管理したくない大多数の顧客の問題を軽減する方向に大きく傾いています。彼らはコンピュータを使いたいのです。例えば、Mac OS X のいくつかのリリースでは、Apple はシステム環境設定の「セキュリティとプライバシー」に、デフォルトで起動できるアプリを制御する 3 つのラジオボタンを用意していました。「App Store アプリのみ」に制限するオプションは、経験の浅いユーザー、子供、そしておそらく親に適しています。「App Store と確認済みの開発者」では、Apple のプロセスを使用してアプリに暗号署名し、改ざんされていないことと出所を識別した登録済みの Apple 開発者が関与するソフトウェアが追加されます。「Anywhere」では、署名されていないすべてのソフトウェアの実行が許可されます。
macOS Sierraでは、AppleはAnywhereをリストから削除しました。アプリを選択して右クリックし、「開く」をクリックすると警告が表示され、クリックして回避することは可能です。しかし、この回避策を知らない一般ユーザーにとっては、出所不明のソフトウェアを誤ってインストールしてしまうのを防ぐことができます。
ユーザーから制御権が一部奪われるでしょうか?はい。多くのユーザーのセキュリティが全体的に強化されるでしょうか?これもまた、はい。
Little FlockerとBlockBlockはそれをはるかに超える機能を備えていますが、このコラムを読んでいる皆さんは、Mac上で何が動作しているかについて、Appleが提供・管理している以上の安心感を求めているはずです。特に、私のように署名のないソフトウェアをインストールする必要がある場合はなおさらです。プログラマーの中には、Appleの監視と管理に耐え難いと感じる人もいれば、年間99ドルの会員費を払って面倒な手続きを踏むのを嫌がる人もいます。
目的のある駄洒落
前述の通り、以前のコラムでLittle Flockerについて紹介しましたが、当時はまだ開発段階のアルファ版だったため、日常的に使うには不安が大きすぎました。ベータ版を経てバージョン1.0になった今、私はメインオフィスのMac(Appleが正式リリースを中止する直前にSierraにアップデートしました)でLittle Flockerを常時稼働させ、開発者でセキュリティ専門家のJonathan Zdziarski氏にフィードバックを提供しています。(彼はMacworldポッドキャストにゲスト出演しており、近いうちにまたお招きする予定です。)
Little Flockerは、ファイルを開くアプリにとって、ネットワーク監視ユーティリティLittle Snitch(Objective Development製)がローカルネットワークやインターネットにアクセスするアプリにとっての役割を果たします。安定版1.0をしばらく使ってみたので、トレーニング段階を経て学習する意欲のある方には、より一般的にお勧めできます。(5台のコンピュータに対応した個人用ライセンスが10ドル、1台のコンピュータに対応したビジネス用ライセンスが20ドルです。)
このアプリは、ランサムウェアやその他のローカルファイル操作を目的としたマルウェア対策ソフトウェアのようには設計されていません。ランサムウェアなどのローカルファイル操作を目的としたマルウェアの感染を防ぐためのものではありません。感染経路は多岐にわたり、牛が逃げた後は納屋の扉が閉まるという悪循環に陥ります。その代わりに、アプリによるアクセスを特定のファイルパスの変更、または特定の拡張子(.mp3など)へのアクセスに制限しています。
インストール(再起動が必要)後、Little Flocker は学習モードで起動します。このモードでは、通常の起動プロセス中にどのアプリが開こうとするかを監視します。私は Zdziarski 氏に働きかけて、このモードでのデフォルトの動作を 30 秒から、ユーザーに警告するダイアログを表示し、起動完了後に閉じられるように変更してもらいました。というのも、私のシステムでは起動から使用可能になるまで数分もかからないのですが、メニューバーのユーティリティやバックグラウンドのあらゆる機能が起動するまでに 2 ~ 4 分かかるからです。
Flashインストーラーを実行するときはいつも、インストーラーが何をしているのかじっくりと確認したいと思っています。Little Flockerが役に立ちます。
すべてがうまくいったと満足したら、学習モードを無効にすると、アプリが直感的に認識したルールのリストが表示されます。これらのルールを確認してインポートし、変更することができます。macOSが既知のアクティビティを実行できるようにするシステムルールのデフォルトセットが付属しています。学習モードは、システム情報やFinderなど、多くの深いサブディレクトリにアクセスするため、一部のアプリに対して数十ものルールを作成することに気付きました。Zdziarskiの指示に従い、これらのルールを1つのルールにまとめ、両方のプログラムがルートディレクトリ以下のすべてのディレクトリにアクセスできるようにしました。
通常の操作では、アプリがまだ権限のないディレクトリにアクセスしようとすると、プロンプトが表示されます。例えば、Macがランサムウェアに感染してしまった場合(専門家は、Appleのユーザーベースが潤沢な資金を蓄えているため、このような事態が起こるのではないかとますます懸念しています)、Little Flockerは、新しくインストールされたアプリが、ドキュメントを暗号化して金銭を要求し、それを拘束するために必要なファイルを操作できないようにするはずです。
Little Flocker を長く実行すればするほど、承認が必要なアクションの回数は少なくなります。なぜなら、ほとんどのアプリは適切に動作し、ドキュメントフォルダやアプリケーションサポートフォルダなどに保存されるからです。ランサムウェアは、あらゆる種類のフォルダやファイル形式にアクセスしようとするため、目立ちます。ほとんどのアプリは、Word のように、主に DOC、DOCX、RTF といった限られたファイル形式と、1 つの場所のみに制限されています。
カーネル レベルでシステムを拡張するこの種のソフトウェアと同様に (Zdziarski 氏は Apple の許可を申請して特別な署名権限を取得する必要があったため)、適切なバックアップと、マニュアルを読んでトレーニングする時間を確保する必要があります。
テスト中、システムが引き起こすエッジケースでZdziarski氏を困惑させ続けましたが、データ損失はありませんでした。数回再起動するだけで、安定した保護が実現し、今後の脅威に対するMacの耐性に自信が持てるようになりました。
BlockBlockは永続的なインストールに対処します
BlockBlock(ドネーションウェア)は、不要なアプリのインストールと実行の別の側面を巧みに利用します。(Little Flocker は、敬意を表して元々は FlockFlock という名前でしたが、明らかに紛らわしいものでした。)ファイルアクセスを監視するのではなく、常に実行状態になり、システムの再起動後に再び起動するように自身をインストールするソフトウェアを探します。
Little Flocker のシンプル モードでは、ダイアログが誰でも簡単に理解できるようになります。
マルウェアは、たとえ一部を強制終了または削除できたとしても、再起動すると必ず再起動しようとします。そのため、永続インストールを監視することは非常に理にかなっています。ほとんどの場合、既知のソフトウェアを明示的にインストールしない限り、macOSは起動時に実行する項目のリストを変更しません。これにより、他の何かを見つけやすくなります。
BlockBlockはまだインストールしていません。カーネルを変更し、システムを監視するソフトウェアは1つだけで十分です!しかし、Little Flockerがベータ版からリリースされたので、次にBlockBlockを追加しようと思っています。
注意深い待機
これら2つのツールの最大の利点は、100%正常な警告が表示されることです。つまり、すべてのポップアップが望ましい動作、つまり期待される動作を反映しているということです。つまり、マルウェア、さらにはアドウェアやその他の悪質ではないナンセンスを回避できるということです。しかし、これらの警告に辛抱強く対応できる人にとっては、より安心できるというメリットもあります。
寛大さも関係しています。多くの上級ユーザーがBlockBlock、Little Flockerなどの類似ソフトウェアをインストールしているため、マルウェアがMacの世界に侵入した瞬間、数千人、あるいはそれ以上の人々がそれを知り、Appleやマルウェア対策ベンダーに報告し、拡散が始まる前に阻止できる可能性があります。
その他のケースでは、UAE の人権活動家アハメド・マンスール氏の iPhone を攻撃しようとした一連のエクスプロイトのように、一般には広まっていないが 1 人のユーザーの Mac に感染するものであれば、他の人に感染する前に早期対応が可能になる可能性がある。
