Apple OS X Yosemiteのセキュリティ機能

AppleのOS X 10.10 Yosemiteがリリースされました。Appleは、OS Xのセキュリティだけを取り上げた専用のページを用意しています。情報量はかなりのものですが、理解しやすく、とても読みやすい内容です。ただ、どれが新しい機能なのかはあまり説明されていません。そこで、新しい機能をセキュリティの観点から読み解いていきましょう。

Appleは、「最初に考えたのはセキュリティ。後から思いついたのではない」と述べています。近年の状況を考えると、これは大いに歓迎される姿勢です。実際、Appleは以前より、製品開発の最初の段階からセキュリティの組み込みを考慮してきました。しかし、すべての企業がそうとは限りません。Appleは正しい取り組みをしています（少なくとも、正しい取り組みをしていると述べています）。

Yosemiteの大半のセキュリティツールには、「Gatekeeper」や「FileVault」などの名前が付けられています。これはマーケティングの手法ですが、どのような機能のツールなのかわかりやすいという面もあります。では、各種ツールを見ていきましょう。

Gatekeeper

これはOS X 10.8 Mountain Lionで導入された機能で、マルウェアや「インターネットからダウンロードした不正アプリ」からMacを保護します。Gatekeeperの目的や動作は、Windowsのユーザーアカウント制御（UAC）と似ています。つまりGatekeeperは、Mac App Store以外の場所からダウンロードされたアプリに適切なデベロッパーIDがあるかどうかをチェックする機能です。デベロッパーIDがないアプリは、設定を変更しない限り起動することができません。

Gatekeeperの既定の設定では、Mac App StoreのアプリとデベロッパーIDのあるアプリをダウンロードすることが許可されています。それ以外のアプリはブロックされますが、設定は手動で変更できます。この設定のほかに、［すべてのアプリケーションを許可］（安全性が最も低い）や、［Mac App Storeからのアプリケーションのみを許可］（他のアプリはダウンロードされない。最も安全）のオプションがあります。

FileVault 2

このセキュリティツールは、Macのドライブ全体を暗号化し、データをXTS-AES 128暗号化によって保護します。Appleによれば、最初の暗号化は「すばやく、かつ作業を妨げない方法で」行われるそうです。また、リムーバブルドライブも暗号化できるため、Time Machineバックアップや他の外付けドライブの保護にも役立ちます。

FileVault 2には、ドライブ内の全データを消去する機能もあります。データ消去は2段階で行われます。まず、Macから暗号鍵が削除され、データに「まったくアクセスできない」状態（Appleによる）になります。次に、ディスク内のすべてのデータが完全に消去されます。したがって、そのドライブから何かを復元したい人は、大いに「手ごたえを楽しめる」ことでしょう。重要なデータを保護し、悪人の手に渡らないようにする手段として、実に有用な機能です。次に紹介するツールと同様に…。

リモートワイプ

無断で「所有者が変更」された場合に、この機能を使って個人情報をすべて消去し、Macを工場出荷時の状態に戻すことができます。パスコードロックをリモートで設定するオプションもあります。

#Apple OS X #Yosemite の #セキュリティ機能

Tweet

iCloud.comやiOSデバイスの「iPhoneを探す」アプリを使えば、紛失したMacがある場所を地図で確認することができます。Macがオフラインの場合は、MacがWi-Fiに接続されるとすぐにメッセージが届きます。画面にメッセージを表示して、紛失したMacを自分に届けてもらう方法を伝えるオプションもあります。

パスワード

Safariブラウザーにパスワードジェネレータが搭載されました。オンラインアカウント用に強力なパスワードを作成してくれる機能です。また、iCloudキーチェーンにログインIDとパスワード（さらにクレジットカード情報）を保存し、256ビットAES暗号化で保護することもできます。iCloudには、すべてのユーザー名とパスワードをAppleデバイス（Mac、iPhone、iPad、iPod touch）間で同期する機能もあります。

この自動入力オプションには、1つだけ難点があります。自分が席を外した隙に悪意ある人物にMacを使われてしまうと、予期せぬ問題が起きることがあるのです。そのため、［セキュリティとプライバシー］設定で［自動ログインを使用不可にする］を必ず有効にしてください。

プライバシーコントロール

アプリから位置情報データを要求された場合に、許可（または拒否）することができます。許可または拒否を選択する画面には、位置情報サービスによってプライバシーが侵害される可能性についての説明が添えられています。「アクセシビリティ」タブでは、特定のアプリによる「コンピューターの制御」を許可できます（Windowsでこれに相当するのは「管理者として実行」権限で、特にレガシーアプリケーションから要求されます）。こうした権限をどのアプリに与えるかは、ユーザーが決められるようになっています。アクセシビリティ自体が必ずしもプライバシーに影響するわけではありませんが、追加のセキュリティ機能として意識しておく価値はあります。

AppleはOS Xの #セキュリティ 強化に向けて正しい方向性を示した

Tweet

実際のところ、Appleはプライバシーに関してもっと踏み込むこともできたはずです。YosemiteのSpotlightは、ユーザーの（市町村レベルの）現在地とすべての検索語を、Appleと第三者企業にレポートするという設定が既定のようです。これを解除するには、［システム環境設定］ – ［Spotlight］ – ［検索結果］で、［Spotlightの検索候補］と［Bing Web検索］を無効にします。Spotlightの検索候補は、別途Safariの設定でも無効にする必要があります。

アンチフィッシング

このツールは、実はかなり前からありました。フィッシングは増え続けており、特別な対策が必要な問題です。Appleがこの機能を提供しているのはすばらしいことです。

アンチフィッシングは、アプリケーションからMacへの接続を要求された場合に許可または拒否できる基本的なツールです。しかし、Macから外部への通信を保護するファイアウォール機能はないため、こちらに関してはもっと強力なツールをインストールした方がよいでしょう。

サンドボックスとコアレベルでの保護

次はMac OS X 10.7 Lionで導入された機能、App Sandboxです。サンドボックスは、システムに害を及ぼす恐れのあるアプリを隔離する環境です。興味深いことに、Safariでのサンドボックス保護は、内蔵のPDFビューアとさまざまなプラグインをサンドボックス化することによって実現しています。サンドボックス化されるプラグインはAdobe Flash Player、Silverlight、QuickTime、Oracle Javaなど。いずれもぜい弱性を多く抱え、悪用されることが多いソフトウェアです。

OS Xでは、Mac App Store、メッセージ、カレンダー、連絡先、辞書、Font Book、Photo Booth、Quick Look、メモ、リマインダー、Game Center、メール、FaceTimeといったアプリもサンドボックス化して、悪意あるアプリが入り込めないようになっています。

【NOTA BENE | ユージン・カスペルスキーは語る】Macが安全だというのは「神話」だ、と考える人は以前より増えたかもしれません。Macを取り巻くセキュリティの事情はどうなっているのか。 http://t.co/AfMZj72xuC

— Kaspersky Labs Japan (@kaspersky_japan) October 7, 2014

また、コアレベルでランタイム保護を行っています。これはプロセッサのXD（Execute Disable）機能に組み込まれており、「データに使うメモリと実行可能命令に使うメモリとの間に頑丈な壁」を築きます。Appleの説明では、「Macにプログラムを扱うのと同じようにデータを扱わせることでシステムを攻撃するマルウェア」を防ぐことができるとされています。

また、カーネルで使用されるメモリに対してアドレス空間配置のランダム化（ASLR）を行い、各プログラムの重要なデータ領域を無作為に配置します。この技術によって攻撃者が標的のアドレスを予測しにくくすることで、特定の攻撃（バッファオーバーフローなど）を防ぐことができます。Mac OS X 10.5 Leopardでは、システムライブラリに対するランダム化が導入され、2012年7月にリリースしたOS X 10.8 Mountain Lionでは、システム全体にまでランダム化が拡張されました。つまり、以前から提供されていた機能です。

OS Xマシンに感染し、そこからUSB経由でiOSデバイスに感染するAppleマルウェア「WireLurker」。脱獄していないiOSデバイスにも感染する能力を持ちます。 http://t.co/LPQ7UuQuxZ pic.twitter.com/8GZaQAjArA

— カスペルスキー 公式 (@kaspersky_japan) November 7, 2014

ここで紹介した機能から、AppleがOS Xのセキュリティを強化するために努力したことがわかります。おそらく今後もその取り組みを続けていくでしょう。Appleが正しい方向へと進んでいることは、同社がサイバーセキュリティの問題に対処し、さまざまな手段とツール（基本的なものから高度なものまで）によって攻撃の可能性を下げていることからもわかります。だからといって、OS Xは「確実に」保護されるOSというわけではありません。残念ながら、そんなシステムは存在しないのです。さらに、Macユーザーの増加に伴い、OS Xだけを狙う脅威の数も増大しています。ぜい弱性を詳しく調べ、ときには発見することもある犯罪者は、Macユーザー数の増加に間違いなく注目しています。