Apple「Gatekeeper」に迂回の恐れ、パッチでも解決できず?


米AppleのOS Xに実装されているマルウェア対策機能「Gatekeeper」が迂回されてしまう脆弱性を発見してきたセキュリティ研究者が、米ワシントンで開かれたハッカーカンファレンスの「ShmooCon」で1月17日、「Gatekeeperの完全な失敗」を指摘する発表を行った。

マルウェア (malware) は、「悪意のある」という意味の英語「malicious(マリシャス)」と「software」を組み合わせて創られたかばん語である。 コンピュータウイルスやワームが代表例で、他にクラックツール、スパイウェア、悪質なアドウェアなども含む。

→wikipedia参照

セキュリティ企業Synackの研究者パトリック・ウォードル氏は、これまでに2件のGatekeeperの脆弱性を発見し、Appleに通知してきた。いずれも悪用は簡単で、インターネットからダウンロードした署名のないコードを実行させることが可能だったと同氏は解説する。

gtkpr01.jpg 研究者の発表要旨(ShmooConサイトより)

AppleはOS Xの更新版でそれぞれの脆弱性に対処したものの、OS X最新版の「10.11.2」でも依然として、Gatekeeperは簡単にかわすことができてしまうとウォードル氏は主張。攻撃者がHTTP通信に割り込む中間者攻撃を仕掛けてインターネットからマルウェアをダウンロードさせることも可能だとしている。

OS X(オーエス テン)は、アップルが開発・販売する、Macintosh コンピュータ用の現行オペレーティングシステムである。バージョン9まで続いたそれまでの Mac OS の後継として、BSD UNIX ベースで新たに Mac OS X(マック オーエス テン)が作られた。

→wikipedia参照

ShmooConの発表で同氏はGatekeeperの仕組みやAppleのパッチについて分析し、「Gatekeeperのアーキテクチャ上の限界」を指摘。OS Xで不正なコードが実行されるのを防ぐため、Synackが独自に開発したというツール「Ostiarius」も紹介している。

アーキテクチャarchitecture)は、英語で「建築学」、「建築術」、「構造」を意味する語である。

→wikipedia参照

 

gtkpr02.jpg
Apple公式サイトより

Gatekeeper は、悪影響を及ぼす可能性のある App からお使いの Mac を保護します。

インターネットからダウンロードしてインストールした App が、Mac に悪影響を及ぼすことがあります。Gatekeeper は、お使いの Mac をそのような App から保護するのに役立ちます。この記事を読んで、Gatekeeper の仕組みとそのオプションについて理解してください。

Gatekeeper は Mountain Lion と OS X Lion v10.7.5 の新機能で、OS X に以前から搭載されていた マルウェアチェック機能 を利用して、インターネットからダウンロードしたマルウェアや不正 App から Mac を保護します。

App のダウンロードおよびインストールサイトとしてもっとも安全で信頼できるのは、Mac App Store です。Apple は Mac App Store での提供を許可する前に App をひとつひとつ審査しており、万が一問題が見つかった場合はストアからすばやく削除します。

Mac App Store 以外の場所からダウンロードされる App の場合、開発元は Apple から固有のデベロッパ ID を取得して、App にその ID でデジタル署名を付加することができます。Gatekeeper はこのデベロッパ ID と照らし合わせて、マルウェアの開発者が作った App をブロックしたり、App が署名後に改ざんされていないことを確認したりします。不明な開発元 (デベロッパ ID を持たない開発元) が作成した App や改ざんされた App は、Gatekeeper によってブロックされ、インストールできません。

注意:Gatekeeper に対応するデベロッパ ID で署名されていない App については、その App の開発元に連絡を取り、Gatekeeper に対応するアップデートを提供する予定があるか確認してください。

詳しくはここをクリックしてください。

マルウェアの検出 (Gatekeeper によらない場合) では、いわゆる「拒否リスト」を使う方法で、既知のマルウェアが Mac で実行されることを防ぎます。マルウェアと確認されると、そのプログラムに固有の属性がこのリストに追加されます。拒否リストに載っている App を開こうとすると、警告の メッセージ が表示されます。

注意:Gatekeeper 証明書が無効になっている App がすでにインストールされている場合、その App は引き続き実行されます。

重要:デベロッパ ID の署名は、インターネットからダウンロードした App に適用されます。ほかのソース (ファイルサーバ、外付けドライブ、光学ディスクなど) からインストールした App は、それがもともとはインターネットからダウンロードした App でない限り、対象外です。

Gatekeeper のオプション

インストールするものを、Gatekeeper でより厳密に管理できます。もっとも安全なオプションを選択すると、Mac App Store から入手した App 以外は開くことができません。Mac App Store と確認済みの開発元からの App だけを許可するというオプションもあります。または、OS X のこれまでのバージョンと同様、すべての App を許可することもできます。

Gatekeeper のオプションは、Apple メニュー >「システム環境設定」>「セキュリティとプライバシー」>「一般」タブの「ダウンロードしたアプリケーションの実行許可」で設定できます。

注意:OS X Lion v10.7.5 の Gatekeeper のデフォルト設定は、「すべてのアプリケーションを許可」です。

Gatekeeper のオプションは次の通りです。

  • Mac App Store からのアプリケーションのみを許可 – Mac App Store からの App のみ開くことができます。
  • Mac App Store と確認済みの開発元からのアプリケーションを許可 (OS X Mountain Lion のデフォルト) – Mac App Store および Gatekeeper を利用する開発元からの App のみを許可します。
  • すべてのアプリケーションを許可 – インターネット上のソースに関係なく、すべてのアプリケーションを許可します (OS X Lion v10.7.5 のデフォルト)。Gatekeeper は実質的にオフになります。注意:デベロッパ ID の署名がある App でも不適切に改変されたものは、このオプションが選択されていても開きません。

未確認の開発元からの App を開き、その App を Gatekeeper の監視の対象外にする方法

インターネットからダウンロードした App が最新バージョンで、信頼できるソースからのものだと確信している場合は、以下の手順に従って、未確認開発元からの App を開くことができます。

重要:デベロッパ ID の署名取得手続き中の開発元からの、Apple が検査済みの一部の App では、ダブルクリックすると「開く」オプションが表示されます。

注意:ほとんどの場合、以下の手順は Mac 上のすべてのユーザアカウントで一度だけ実行する必要があります。

  1. Finder で 、App のアイコンを「control」を押しながらクリックするか、右クリックします。
  2. 表示されるコンテクストメニューから「開く」を選択します。
  3. ダイアログボックスで「開く」を選択します。認証を求められたら、管理者名とパスワードを入力します。

注意:複数の Gatekeeper ダイアログボックスが表示される App の場合は、一時的に Gatekeeper の「すべてのアプリケーションを許可」オプションを使用してください。Gatekeeper 機能を再び有効にするには、Gatekeeper オプションを必ず以前の状態に戻してください。

Gatekeeper のメッセージ

  • Gatekeeper オプションが「Mac App Store からのアプリケーションのみを許可」に設定されている場合
    • “App 名”は、Mac App Store からダウンロードされたものでないため開けません。
      • “セキュリティ”環境設定でインストールが許可されているのは、Mac App Store からのアプリケーションのみです。
      • このファイルは、“日付”に“URL”から Safari でダウンロードされました。

  • Gatekeeper オプションが「Mac App Store と確認済みの開発元からのアプリケーションを許可」に設定されている場合
    • “App 名”は、開発元が未確認のため開けません。
      • “セキュリティ”環境設定でインストールが許可されているのは、Mac App Store と確認済みの開発元からのアプリケーションのみです。
      • このファイルは、“日付”に“URL”から Safari でダウンロードされました。

  • App が破損している場合 – この App は開発元以外の第三者によって改変されています。このメッセージは、どの Gatekeeper オプションが選択されていても表示されます。
    • “App 名”は壊れているため開けません。”ゴミ箱”に入れる必要があります。
      • このファイルは、“日付と時刻”に“URL”から Safari でダウンロードされました。

  • 「control」キーを押しながらApp のアイコンをクリックして「開く」を選択 – 未確認開発元からのデベロッパ ID 署名による保護を回避する場合に使用します。
    • App 名”の開発元は未確認です。開いてもよろしいですか?
      • “App 名”を開くと、この Mac でこのアプリケーションの実行が常に許可されます。
      • このファイルは、“日付”に“URL”から Safari でダウンロードされました。

 

2 thoughts on “Apple「Gatekeeper」に迂回の恐れ、パッチでも解決できず?

  1. Pingback: Peruvian alpaca clothing the best alpaca shop of peruvian clothing

  2. Pingback: pendaftaran cpns

Comments are closed.