FREAKは先週の懸念事項でしたが、信頼できないアプリケーションのインストールは永遠の懸念事項です。このコラムでは、新旧のセキュリティ問題を取り上げ、2つの懸念(あるいは2つの恐怖)を取り上げます。
超フリーキー
Appleは今週、「FREAK」と呼ばれるセキュリティ脆弱性に対するアップデートをリリースしました。FREAKは、セキュリティ認証情報を持つウェブサーバーの約3分の1と、多くのセキュアウェブクライアント、そして一般的に使用されているソフトウェアライブラリとの間で、悪意のある第三者が弱い暗号化プロトコルを強制的に使用できるようにする脆弱性です。この弱いプロトコルは、安価かつ比較的迅速に解読され、ブラウザとウェブサーバー間のセッションの内容を暴露される可能性があります。(この攻撃に関する詳細は、ジェレミー・カークのニュース記事をご覧ください。)
Appleは3月3日、翌週にアップデートをリリースすることを確認し、実際にリリースしました。これは例年よりも良好なコミュニケーションであり、最近の傾向と一致しています。これまでAppleは、セキュリティ修正がかなり深刻なものであっても、いつリリースされるかについて沈黙を守ることが多かったため、今回の率直さは歓迎すべきものです。
アップデートを入手してください。
アップデートは、OS X 10.8(Mountain Lion)、10.9(Mavericks)、10.10(Yosemite)、Xcode 2、iOS 8(8.2に同梱)、そして第3世代以降のApple TVを対象としています。この脆弱性は10年前のあらゆるOSに存在していることを考えると、アップデートの対象期間が比較的短いように思われます。
しかし、この修正は非対称的です。クライアントとサーバーの両方、あるいはどちらか一方がブロックされる可能性があります。ウェブサイトは、接続を試みるセキュアソフトウェアがどのような動作をしようとも、この脆弱性が悪用されるのを防ぐため、比較的小規模な再構成を直ちに開始しました。セキュリティ証明書をインストールした(あるいはビジネスで証明書を必要とする)サイトは、影響を受けるサーバーに該当する場合、設定を更新する可能性が高いでしょう。
FREAKは、自力で対処することも、予防措置を講じることもできない、厄介なエクスプロイトの1つです。しかし、このエクスプロイトを仕掛けるには、悪意を持った第三者が「中間者」(MitM)として介入する必要があります。すべてのユーザーにとって傍受される可能性は低いですが、敵、犯罪者、政府機関の標的となる可能性のある特定のユーザーにとっては、このエクスプロイトが知られ、傍受や窃盗のツールとして使用されているとすれば、その可能性は中程度からかなり高いものになるでしょう。
現状では、OS X 10.7以前、またはiOS 7以前のバージョンをお使いの方は心配する必要はありません。iOSユーザーは心配しているかもしれません。セキュリティホールは急速に塞がれており、傍受を狙う者にとって、これは有用なツールにはなりそうにありません。
木製のアプリは使用しないでください
Macソフトウェアを狙った悪質なインストーラーが再び出現し始めているという噂があります。これは初めてのことではありませんが、Appleはソフトウェアのインストールに関して概ね優れたアプローチをとっており、ユーザーの介入なしにマルウェアが侵入するのを防いでいるため、OS Xユーザーにとっては心配する理由があること自体が意外なことです。たとえ自分が騙されるようなことはしないとしても、友人や親戚の設定や知識を確認し、安全かどうか確認してみるのも良いでしょう。
インストーラー詐欺は、多くの場合合法で魅力的なソフトウェアを、まるで無関係なソフトウェアもインストールする必要があるかのように思わせるパッケージに包み込んだものです。中には純粋なマルウェアもありますが、いずれもブラウザ拡張機能の追加、デフォルトの検索エンジンのリダイレクト、ポップアップの表示など、ユーザーエクスペリエンスの一部を乗っ取ります。その目的は、ユーザーの注意を惹きつけ、インストールソフトウェアのメーカーに報酬をもたらすクリックを追加したり、購入に誘導したりすることです。
ソフトウェアの衛生管理の観点から、Mac App Store または開発者サイト以外からダウンロードした OS X ソフトウェアは、開発者が提供した代替ダウンロードへのリンク経由でない限り、決してインストールしないことをお勧めします。オープンソース、無料、または代替配布モデルのソフトウェアの中には、別の場所からダウンロードする必要があるものもありますが、ほとんどの場合、プロジェクトのホームページからダウンロード先を見つけることができます。(ただし、開発者が倫理的に問題を抱えていないことが前提ですが、ほとんどの場合、それは変わりません。)
システム環境設定 > セキュリティとプライバシーが最初の防御線です。
安全性をさらに高めるには、Yosemiteの「セキュリティとプライバシー」環境設定パネルで設定します。「一般」タブの「ダウンロードしたアプリケーションを許可」で、デフォルトのインストールリスクのレベルを指定できます。Mac App Storeのみ、ストアと確認済みの開発元、あるいは「すべての場所」から選択できます。
あまりMacに慣れていない知り合いや、彼らのコンピューター関連のニーズをサポートしている人にとっては、Mac App Storeが最適な選択肢かもしれません。彼らがサードパーティ製ソフトウェアを日常的に、あるいは全くインストールしない、あるいは常にあなたや誰かの助けを必要とするような人であれば、Mac App Storeは予期せぬ事態を防ぐ良い方法です。
上記の中間の設定を選択した場合でも、インターネットからダウンロードしたソフトウェアに関する警告が表示されます。(Mac App Store ソフトウェアは安全であると審査されています。)
中間の選択肢であるMac App StoreとIdentified Developersの組み合わせでは、Appleが特定の開発者に発行したデジタル証明書で署名されたソフトウェアのみを直接インストールできます。インストーラ詐欺ソフトウェアは、実際には、AppleのOS X開発者プログラムに参加するために年間99ドルの参加費を支払い、メンバーシップを悪用したり、極限まで利用したりしている団体から提供されている可能性があります。
このため、OS X のこのセキュリティ設定に頼るのではなく、ダウンロード サイトを避けることがそもそも良い戦略です。Apple は簡単に開発者証明書を取り消したり、他の救済策を講じたりできますが、その手段に頼る状況に陥らない方がよいでしょう。
開発者を信頼している場合は、最初の起動時に右クリックして「開く」を選択することで、署名されていないソフトウェアをインストールできます。
「どこでも」設定は絶対にお勧めしません。警戒を緩めてしまうからです。中間の設定でも、署名のないソフトウェアをインストールできてしまいます。アプリケーション本体を見つけて右クリックし、「開く」を選択すると、起動を確認するメッセージが表示されます。
