Apple、macOS High Sierraでサードパーティ製カーネル拡張KEXTのロードを抑制する「Secure Kernel Extension Loading」機能を導入。

　AppleはmacOS High Sierraでサードパーティ製カーネル拡張KEXTのセキュリティを強化する「Secure Kernel Extension Loading」機能を導入すると発表しています。詳細は以下から。

　Appleは現地時間2017年06月19日、今年秋にリリースするmacOS 10.13 High Sierraからサードパーティ製カーネル拡張(KEXT:Kernel Extensions)に関する新しいセキュリティ機能「Secure Kernel Extension Loading」を追加すると開発者に対し通知しています。

Introduction
macOS High Sierra 10.13 introduces a new feature that requires user approval before loading newly-installed third-party kernel extensions. Third-party kernel extensions (KEXTs) that were already present when upgrading to macOS High Sierra are granted automatic approval.

Technical Note TN2459: Secure Kernel Extension Loading – Apple

　AppleはOS X 10.10 Yosemite以降サードパーティ製KEXTへの署名を開発者に求めていますが、「Secure Kernel Extension Loading」機能が導入されるHigh Sierraでは署名されているKEXTでも初めてロードする場合はユーザーによる承認が必要になるそうで、

This prompts the user to approve the KEXT in System Preferences > Security & Privacy as shown in Figure 2.This approval UI is only present in the Security & Privacy preferences pane for 30 minutes after a blocked load attempt.

Technical Note TN2459: Secure Kernel Extension Loading – Apple

初めてロードされるKEXTはシステムによりブロックされ(Figure 1)、KEXTのロードを許可したい場合はシステム環境設定の[セキュリティとプライバシー] → [一般]タブに30分間表示される開発者名(Figure 2)を確認した上で[許可]のボタンを押す必要があるそうです。

おまけ

　この機能の導入によりKEXTを利用するアプリの開発者やセキュリティ関係者らは、このブロック方法ではユーザーが(システムによりKEXTのロードをブロックされた)アプリを危険なものと誤解してしまう恐れがあるとして、Appleに表示や許可方法を改善するように求めているため、今後修正が行われるかもしれません。

追記

　Technical Note TN2459には以下の注意書きも添えら得れているので、更に詳しく知りたい方はチェックしてみて下さい。

• 古いmacOS/OS XからmacOS High Sierraへアップグレードする場合、既存のKEXTは自動的に承認される。
• ブロックポップアップやシステム環境設定に表示される開発者名はアプリケーションの”Subject Common Name”が利用されるので、適切な会社名で登録する事を推奨します。
• ユーザーがKEXTの許可を与えると、同じ場所にある同じTeam IDで署名された他のKEXTも承認されます。
• macOS High Sierraでは”kextutil”コマンドを利用してKEXTのロードが失敗したかを確認できます。
• エンタープライズ向けにはリカバリー/インストーラー環境でこの機能を無効にするためのコマンドラインツールを今後公開する予定。

• Technical Note TN2459: Secure Kernel Extension Loading – Apple