このコラムを自分で読む必要はないかもしれませんが、それでも読んで、あまり用心深くない人たちがもっと注意を払うように手助けしてください。OS X 用のソフトウェアは、開発者自身の Web サイトまたは Apple 以外からダウンロードしないでください。以上です。
長年のMacユーザーの多くにとって、これは当然のアドバイスです。ずっと昔、もしかしたらSystem 6や7の頃だったかもしれません。ウイルスやトロイの木馬を含むマルウェアについて、苦い経験を通して、あるいは観察を通して学んだはずです。インターネットが普及してからは、多くの開発者が高速回線や十分な帯域幅を確保できず、結局は不要なソフトウェアばかりのインストーラーを入手する羽目になったのかもしれません。
ここまで賢くなったあなたは素晴らしいですが、数え切れないほど多くのMacユーザーが、これらの厳しい教訓や観察を経験していません。多くのダウンロードサイトは、いわゆる「Google juice」(検索エンジン最適化、SEO)を調整し、結果としてソフトウェア製品の正当な開発者よりも上位に表示されるようにしています。開発者は、おそらくダウンロードサイトに製品の無料ダウンロードを提供することを許可していないでしょう。なぜなら、ユーザーが別のサイトに行くことはソフトウェアメーカーにとって何のメリットもなく、何か問題が発生した場合に責任を問われる余地が大きいからです。
無料、フリーミアム、またはトライアル版のソフトウェアを探す場合、多くのユーザーは製品名を検索し、トップリンクをクリックするか、これらのサイトのいずれかからスポンサーリンクをクリックします。(残念ながら、多くのユーザーは商用ソフトウェアの「無料」ダウンロードや、ライセンスコードを支払うことなくプレミアム機能を提供するクラック版フリーミアムソフトウェアも探しています。)
しかし、先週、MacUpdate からダウンロードした Skype がアドウェアとトライアルウェアを含むインストーラーでラップされていることに気付いたユーザーの体験から、私は、気付いていなかった人々に再度注意を喚起し、この問題を理解している皆さんに、友人、同僚、家族がこれらのリスクを回避するのを手伝っていただくようお願いするとともに、この問題について理解している皆さんに再度呼びかけることにしました。
情報源を考慮する
通常、開発者の適切なサイトは、スクロールダウンして注意深く見れば見つかります。Googleで「Skype Mac ダウンロード」と検索すると、ブラウザの最初の画面に表示されるリンクの半分はサードパーティのダウンロードサイトです。しかし、一番上にはSkype.comがあります。Googleがダウンロードサイトの無料リンクに付けるレビューの星印はついておらず、装飾は控えめです。(もしこれが当たり前だと思ったら、検索してみて、よく見ずに、一番マッチしたと思うサイトにマウスを合わせてみてください。Skype.comでしたか?)
評判の良いサイト(ええと、ええと)で製品のレビューを見つけ、開発者のサイトへのリンクが付いているのも、正しい場所にいる証拠です。Twitterなどのソーシャルメディアを使って開発者のアカウントを見つけ、そこから公式ウェブサイトを見つけることもできます。多くの場合、乗っ取られるのは最も人気のあるアプリケーションだけです。
AppleのMac App Storeは、帯域幅が高騰した時代の終焉を乗り切るほどの老舗であり、Appleの30%の値下げにはダウンロード料金と成功の代償が含まれていた。表向きは、サーバーが過負荷になり販売が滞る可能性があるため、ユーザーがApp Storeからプログラムをダウンロードできないことはあり得ないはずだ。これが、30%という値下げが今となってはあまりにも大きすぎるように思える理由の一つだ。しかし、今年、研究者たちがApp Storeの承認とセキュリティに関する脆弱性を発見したにもかかわらず、App Storeは依然として安全である。
唯一の問題は、環境設定パネルの「セキュリティとプライバシー」にある「ダウンロードしたアプリケーションの実行許可」にあるGatekeeperです。開発者の中には、Appleから証明書を取得して直接リリースするアプリケーションに暗号署名するための手順を踏まない人もいます。Gatekeeperを「すべてのアプリケーションの実行を許可」に設定することは絶対にお勧めしません。そうすると、ダウンロードしたアプリケーションをすべて実行できてしまうからです。「Mac App Storeと確認済みの開発元」に設定しておきましょう。ダウンロードしたアプリケーションが正規のものであることを確認した後、Finderでアプリケーションを右クリックし、コンテキストメニューから「開く」を選択して実行を確定すれば大丈夫です。
Gatekeeper を Mac App Store および特定の開発者に設定しておくと、リスクは大幅に制限されますが、完全に排除されるわけではありません。
図書館業界で働いている友人によると、その市場には、便利で無料、最低限のサポートしか受けていない、署名なしのアプリが驚くほどたくさんあるそうです。私が使っているユーティリティの中には、大抵はあまり知られていないものもあり、これも署名なしです。しかし、いずれの場合も、開発者のサイトからダウンロードすればリスクは最小限に抑えられます。(署名付きアプリも危険な場合がありますが、Appleはメーカーの証明書を一元的に取得し、Gatekeeperを通じてあらゆる場所で承認を停止することができます。)
かわいそうな仲間
2015年現在、開発者がソフトウェアのダウンロードを他の場所でホストする必要はもはやありません。私はLinodeの仮想プライベートサーバー(VPS)に月額約100ドルを支払っています。このサーバーには、ギガビット/秒のインターネット接続を備えた高性能SSDベースのサーバーという実際の機能に加えて、 3テラバイト(そう、3テラバイトです)のデータ転送容量が含まれています。
3TBの容量は、その単一サーバーの入出力容量によって制限されるため、数百、数千の同時ダウンロードが懸念される場合は、ダウンロード料金が1ギガバイトあたり9セント(テラバイトあたり90ドル)から始まるAmazon S3に移行できます。コンテンツ配信ネットワーク(CDN)といった、より安価な選択肢もあります。
つまり、ソフトウェアダウンロードサイトと優先的に提携し、自社ウェブサイトの訪問者をそれらのサイトへのリンクに誘導する開発者は、ほとんどの場合、そのサイトから報酬を受け取っているためであり、その報酬はインストールされたソフトウェアやバンドルパッケージから開始されたサブスクリプションに基づいて支払われます。How-To Geekは今年初め、Download.comからのWindowsダウンロード上位10件と、インストールされたソフトウェアを調べましたが、その実態はひどいものでした。これは、人々が望んでいない、そして何の役にも立たないものをインストールすることを中心に成り立っている経済構造なのです。
数年前にこれらのサイトがアドウェア配布センターと化し始めて以来、大手企業や独立系開発者によるMacソフトウェアがこのような形で配布されているのを見たことはありません。MacUpdateはこれまで信頼されていましたが、どうやらモデルを転換し、一部のダウンロードにサードパーティ製のインストーラーや非有料会員向けのソフトウェアをバンドルするようになったようです。(この件についてMacUpdateに問い合わせましたが、回答はありません。)
毎日、Mac 911に、MacKeeperなどの不要な、あるいは有害なサードパーティ製ソフトウェアを含むインストーラパッケージをうっかりダウンロードしてしまったという人からのメールが届きます。たいていは「こんなのをインストールすべきじゃなかったはずなのに…」という書き出しで始まります。その衝動に任せましょう。最初の画面がおかしいと思ったら、すぐに止めて、そのファイルを放り投げましょう。
