分析今年後半にリリース予定の macOS 10.15 では、Apple の Gatekeeper セキュリティ メカニズムによって署名されていないアプリをホワイトリストに登録するオプションがなく、有効な Apple 開発者証明書で署名されたアプリのみが実行される可能性があると想像してみてください。
つまり、macOS 10.15 で実行できるアプリケーション コードは、登録済みのサードパーティ開発者によって作成および署名されたソフトウェアのみになるということであり、現在、開発者はこうしたステータスを得るために年間 99 ドルを支払う必要がある (さらに、売上の 30 パーセントの手数料を支払う)。
したがって、自分で作成した署名なしのコードは、そのOSがインストールされている自分のハードウェアでは動作しません。おそらく、主な目的は、署名なしのマルウェアが誤って実行されるのを防ぐことにあるのでしょう。現在、最新バージョンのmacOSでは、Mac App Store、App Storeと認定開発者、またはどこからでも制限なくソフトウェアを実行するように設定できます。
Apple は macOS 10.15 以降で署名のないプログラムをすべて禁止する予定であると示唆されており、業界内のRegister読者は信頼できる筋からこの話を聞いたと主張しています。
このシナリオは、Appleに秘密を漏らさせるために捏造された、あるいは誇張されたものである可能性も同様に考えられます。この点について周囲に問い合わせましたが、確認できませんでした。
私たちはAppleに問い合わせましたが、同社が私たちの質問に答えることはめったにありません。
この記者が最後にアップル社から即座に明確な回答を得たのは2006年だった。当時CEOだったスティーブ・ジョブズ氏の健康状態について質問した後(ジョブズ氏は当時、ガンの診断を公表してから2年後、明らかに衰弱していた)、同社の広報責任者自らが「スティーブ氏の健康状態は良好で、こうした噂がどこから出ているのか全く見当もつかない」と強調するメールを送ったのだ。
もちろん、Appleには顧客、開発者、そして一般の人々に対して、憶測に対処する義務はありません。しかし、Appleがそうすることを拒否しているという事実は、macOS Mojave(10.14)で提供される変更点とそれほど変わらないことを考えると、この主張は少なくとも議論する価値があると言えるでしょう。
Mojaveアップデートでは、アプリの公証(ノータリゼーション)という概念が導入されました。これは、Appleが配信前にコードスキャンを行い、開発者が署名したアプリに悪意のあるコンテンツや署名に関する問題がないか調べるサービスです。審査に合格したアプリには、Gatekeeperに追加情報を提供するチケットが付与され、インストールプロンプトや署名鍵の監査がよりスムーズに行われます。つまり、Appleによって審査され、安全であると判断されたソフトウェアをmacOSがスムーズにインストールできるという青信号です。
Appleは、Mojaveではアプリの認証はオプションだが、将来的には必須になると述べている。「macOSの次期リリースでは、GatekeeperはDeveloper IDで署名されたソフトウェアをAppleに認証してもらうことを要求することに注意してください」と、同社は開発者向けウェブサイトで説明している。
差し迫った変更についてささやく人たちは、予告されていた公証要件を、開発者が署名したアプリだけでなくすべてのアプリに影響を及ぼす、やや広範な制限と誤解しているのではないかと思われます。
懐疑論
macOS および iOS アプリビジネス Panic の共同設立者である Cabel Sasser 氏にこのことについて尋ねたところ、同氏もそのように示唆した。
High Caffeine Content のアプリを開発している Steve Troughton-Smith 氏は、Apple が署名のないコードを完全に禁止するまでに踏み切るかどうかについて懐疑的な見方を示した。
「Appleが現在Macをプロフェッショナル向けワークステーションとして位置付けているのと矛盾しているように思える。Appleにはすでに、そこまでの機能を詰め込んだコンシューマー向けOS、iOSがある。しかもMacでは、いずれにしてもセキュリティ機能はすべてオフにできる」と同氏は述べた。
同時に、Appleが公証義務化で実現すると述べていることと、署名されていないコードに対してGatekeeperを閉鎖することで実現できることとの間には大きな隔たりはありません。macOS Sierraでは、Appleは未確認開発者のアプリをインストールするオプションを非表示にし始めました。
現在、同社はGatekeeperで未確認アプリをホワイトリストに登録する方法を提供しています。FinderでアプリをControlキーを押しながらクリックし、「開く」メニューを選択してユーザー名とパスワードで認証することで可能です。しかし、潜在的なセキュリティとプライバシーのリスクを懸念し、未署名アプリへの依存を推奨しない姿勢は明らかです。
この仕組みを廃止すれば、macOSはiOSに似たものになり、すべてのアプリに署名が義務付けられることになります。また、AppleがmacOSで動作するiOSアプリ(そしてその逆も)の開発を容易にするための共通フレームワーク(Marzipan)の開発に取り組んでいることを考えると、Appleのデスクトッププラットフォームとモバイルプラットフォーム全体でセキュリティポリシーを統一することには一定の合理性があります。
iOSおよびmacOSアプリビジネスIOSPIRITを運営するフェリックス・シュワルツ氏は、AppleがすべてのmacOSアプリにコード署名を要求する可能性について尋ねられると、そのようなことは聞いたことがないと述べ、もしそれが本当なら「ほろ苦い解決策」になるだろうと示唆した。
「もしAppleが本当に10.15ですべてのアプリに署名を義務付けたいのであれば、Appleがこれらの問題について検討し、実行可能で実用的な解決策を導入することを心から願う」と同氏は述べた。
「しかし、これはmacOSが近年経験したようなプラットフォームセキュリティの変更、つまり善意に基づくものだが、うまく行われていない変更の継続になるのではないかと私は懸念している。」
シュワルツ氏は、こうした面倒な変更が急増した理由の一つは、Appleが自社アプリとサードパーティ開発者のアプリで異なる要件を設けていることにあると考えていると述べた。「Appleだけが利用できる特別なコード署名は、しばしばAppleを自社製品の欠陥から効果的に救う効果があり、その効果は明らかだ」とシュワルツ氏は述べた。
同氏によると、潜在的な問題としては、署名のないレガシーソフトウェアは動作しない可能性があり、現在署名なしで配布されているオープンソースソフトウェアは、Apple開発者アカウントの年間使用料を支払い、署名されたコードに対する法的責任を負い、秘密鍵の安全な管理に対処しなければならないという点だという。
Macのセキュリティをレベルアップして、マルウェアに負けない!システムアラートとAppleゲームエンジンでアンチウイルスパッケージを実現
続きを読む
開発企業Two Lives Leftの共同創業者シメオン・サーンス氏は、The Register紙に対し、macOSアプリに署名を義務付ける計画については具体的な知識はなく、噂は認証済みアプリに関するものかもしれないが、大した問題にはならないだろうと語った。もしAppleがすべてのmacOSアプリに署名を義務付ければ、Mac開発者は非常に激怒するだろうが、自分はそれで構わないとサーンス氏は述べた。
「開発者として、開発者がユーザーのデバイス上で制限なく任意のコードを実行する権利を持っているとは信じられません」と彼は述べた。「分析フレームワークを熟考もせず、ユーザーにオプトインを求めることもなく組み込む開発者の数は、うんざりするほどです。そして、開発者がユーザーのプライバシーを尊重することはほとんどありません。」
サーンス氏は、多くの開発者が実行コードを制限なく配布する権利があると考えていると述べた。「個人所有のデバイスであれば、どんなコードでも実行できるべきだと私は考えています」と彼は述べた。
「しかし、あなたのコードが他のユーザーのデバイスに触れた瞬間から、ロックダウンされ、サンドボックス化され、レビューされる必要があります。開発者としての任意のコードを実行する権利は、あなたのマシンの外で失われます。」®
