Gatekeeper (macOS)

Gatekeeper (ゲートキーパー)は、 macOSに備わったセキュリティ機能である^[1][2]。コード署名を利用して、ダウンロードされたアプリケーションを実行する前に検証し、マルウェアを不注意に実行してしまう可能性を減らす。 Gatekeeperは、ファイル検疫に基づく。ファイル検疫機能は、Mac OS X Leopardで導入され、Mac OS X Snow Leopardで拡張された^[3][4]。この機能は、最初にMac OS X Lionのバージョン10.7.3でコマンドラインユーティリティ spctlとして作られた^[5][6]。グラフィカルユーザーインターフェイスがMac OS X Lion v10.7.5で追加された^[7]。

Gatekeeper

開発元	Apple
初版	2012年7月25日 (2012-07-25)
対応OS	macOS
テンプレートを表示

機能

設定

[システム環境設定]の[セキュリティとプライバシー]パネルには、3つのオプションがある。コマンドラインユーティリティのspctlは、カスタムルール、個別またはブランケットのアクセス許可などの詳細な制御、およびGatekeeperをオフにするオプションを提供する^[6]。

検疫

アプリケーションのダウンロード時に、特定の拡張ファイル属性 （「検疫フラグ」）をダウンロードしたファイルに追加できる^[8]。この属性は、ファイルをダウンロードするアプリケーション（Webブラウザやメールクライアントなど）によって追加されるが、 Transmission（BitTorrentクライアント）やBitTorrentなどのダウンローダーによっては追加されない。この動作は、サードパーティのアプリケーションではデフォルトで無効になっており、開発者はそれを選択する必要がある。macOS側で、Xprotectという名前の署名ベースのシステムを使用して、個々のアプリケーションにこの動作を強制することもできる^[9]。

実行

ユーザがそのような属性を持つアプリケーションを開こうとすると、システムは実行を遅らせ、次のことを確認する。

1. ブラックリストに登録
2. コード署名
3. アップルまたは認定開発者によってコード署名された
4. コード署名とコード署名されたコンテンツが署名と一致

Mac OS X Snow Leopard以降、システムは2つのブラックリストを保持して、既知のマルウェアまたは安全でないソフトウェアを識別する。ブラックリストは定期的に更新される。 アプリケーションがブラックリストに登録されている場合、ファイル検疫はそれを開くことを拒否し、ユーザにごみ箱に移動することを推奨する^[9][10]。

コード署名の要件が満たされない場合、Gatekeeperはアプリケーションを開くことを拒否する。 アップルは、アプリケーションが署名された開発者の証明書を失効させ、それ以上の配布を防ぐことができる^[1][3]。

アプリケーションがファイル検疫またはゲートキーパーに合格すると、通常の実行が許可され、再びの検証はされない^[1][3]。

オーバーライド

Gatekeeperをオーバーライドするには、ユーザ（管理者として機能）は、システム設定のセキュリティとプライバシーパネルからより緩やかなポリシーに切り替えるか、コンテキストメニューからアプリケーションを開く、もしくは、特定のアプリケーションの手動オーバーライドを許可する必要がある。また、spctlで追加することもできる^[1]。

パスのランダム化

開発者は、システムがユニットとして検証できるディスクイメージに署名できる。 macOS Sierraでは、これにより開発者はすべてのバンドルされたファイルの整合性を保証し、攻撃者がディスクイメージに感染させ再配布することを防ぐことができる。さらに「パスのランダム化」は、ランダムな隠されたパスからアプリケーションバンドルを実行し、それらのファイルの位置に関連する外部ファイルへのアクセスを防ぐ。アプリケーションバンドルが署名されたインストーラーパッケージやディスクイメージから作成された場合、更にユーザが単独でアプリケーションを別のディレクトリに手動で移動した場合、この機能はオフになる。

有効性についての考察察

マルウェア対策におけるGatekeeperの有効性と理論的根拠は認められているが^[3]、実装レベルでは留保されている。セキュリティ研究者のChris Millerは、Gatekeeperが開発者の証明書を検証し、既知のマルウェアリストを参照するのは、アプリケーションが最初に開かれたときだけだと指摘した。 すでにGatekeeperを通過したマルウェアは停止されない^[11]。さらに、Gatekeeperは検疫フラグを持つアプリケーションのみを検証する。このフラグはシステムではなく他のアプリケーションによって追加されるため、無視または失敗してもGatekeeperはトリガーされない。セキュリティブロガーのThomas Reedによると、 BitTorrentクライアントはこれを頻繁に犯している。 アプリケーションがネットワーク共有やUSBフラッシュドライブなどの別のソースからのものである場合も、フラグは追加されない^[8]。開発者証明書を取得するための登録プロセスおよび証明書の盗難の可能性についても疑問が提起されている。 ^[12]

2015年9月、セキュリティ研究者のPatrick Wardleが、ライブラリやJavaScriptを含めたHTMLファイルなどの外部ファイルとともに配布されるアプリケーションに関する別の欠点について指摘した。攻撃者はこれらのファイルを操作し、それらを介して署名されたアプリケーションの脆弱性を悪用できる。つまりアプリケーションとその外部ファイルは、アプリケーションバンドル自体の元の署名をそのまま残しながら再配布できる。 Gatekeeperはそのような個々のファイルを検証しないため、セキュリティが侵害される可能性がある^[13]。パスのランダム化と署名されたディスクイメージにより、アップルはmacOS Sierraでこの問題を軽減するメカニズムを提供した。

関連項目

• システム整合性保護
• サンドボックス (セキュリティ)

脚注

1. ^ ^{a b c d} “OS X: About Gatekeeper”. Apple (2015年2月13日). 2015年6月18日閲覧。
2. ^ Siegler, MG (2012年2月16日). “Surprise! OS X Mountain Lion Roars Into Existence (For Developers Today, Everyone This Summer)”. TechCrunch (AOL Inc.). https://techcrunch.com/2012/02/16/os-x-mountain-lion/ 2012年3月3日閲覧。 
3. ^ ^{a b c d} Siracusa (2012年7月25日). “OS X 10.8 Mountain Lion: the Ars Technica review”. Ars Technica. pp. 14–15. 2016年3月14日時点のオリジナルよりアーカイブ。2016年6月17日閲覧。
4. ^ Reed (2014年4月25日). “Mac Malware Guide : How does Mac OS X protect me?”. The Safe Mac. 2016年10月6日閲覧。
5. ^ Ullrich (2012年2月22日). “How to test OS X Mountain Lion's Gatekeeper in Lion”. Internet Storm Center. 2012年7月27日閲覧。
6. ^ ^{a b} “spctl(8)”. Mac Developer Library. Apple. 2012年7月27日閲覧。
7. ^ “About the OS X Lion v10.7.5 Update”. Apple (2015年2月13日). 2015年6月18日閲覧。
8. ^ ^{a b} Reed (2015年10月6日). “Bypassing Apple's Gatekeeper”. Malwarebytes Labs. 2016年6月17日閲覧。
9. ^ ^{a b} Moren (2009年8月26日). “Inside Snow Leopard's hidden malware protection”. Macworld. 2016年9月30日閲覧。
10. ^ “About the 'Are you sure you want to open it?' alert (File Quarantine / Known Malware Detection) in OS X”. Apple Support (2016年3月22日). 2016年6月17日時点のオリジナルよりアーカイブ。2016年9月30日閲覧。
11. ^ Foresman (2012年2月17日). “Mac developers: Gatekeeper is a concern, but still gives power users control”. Ars Technica. 2015年6月18日閲覧。
12. ^ Chatterjee, Surojit (2012年2月21日). “OS X Mountain Lion Gatekeeper: Can it Really Keep Malware Out?”. International Business Times. http://www.ibtimes.com/articles/302094/20120221/os-x-mountain-lion-gatekeeper-malware-out.htm 2012年3月3日閲覧。 
13. ^ Goodin. “Drop-dead simple exploit completely bypasses Mac's malware Gatekeeper”. Ars Technica. 2016年3月20日時点のオリジナルよりアーカイブ。2016年6月17日閲覧。