Apple、Macアプリ開発者に対しアプリへの署名と公証を求め、次期macOSのGatekeeperは全てのアプリでAppleの公証が必要に。

スポンサーリンク

 AppleがMacアプリ開発者に対しアプリへの署名と公証を求め、次期macOSのGatekeeperの下アプリを利用するには野良アプリでもこれらが必要になるそうです。詳細は以下から。

Notarized Appのアイコン

 Appleは2018年06月に開催したWWDC 2018で、ネット上や開発者個人などMac App Store外で公開/配布されているアプリ(いわゆる「野良アプリ」)に対し、これらのアプリを自動化されたApple公証サービスApple Notary Serviceで検証し、アプリ内にマルウェアなどが含まれていない場合はAppleからのチケットを発行し、ユーザーがアプリを利用する際に悪意のあるアプリをブロックする「Gatekeeper」と連携させると発表しました。

Apple Notarize Process for macOS App

 これにより、macOS 10.14 Mojaveでは野良アプリを起動する際に表示されるGatekeeperの警告ウィンドウが細分化され、署名済みのアプリは黄色い警告アイコン(⚠️)有り、Appleの公証済みチケットを持った署名済みのアプリには警告アイコンなしで「悪質なソフトウェアが検出されませんでした」という記載が表示されるようになっていますが、

macOS 10.14 MojaveのNotary Service

インターネットから、または開発元から直接 App をダウンロードし、インストールした場合も、macOS が Mac を守ってくれます。Mac 用の App、プラグイン、インストーラパッケージを App Store 以外からインストールした場合、macOS はデベロッパ ID の署名とノータリゼーション (公証) の状態を調べて、ソフトウェアが ID を取得済みの開発元のものであることや、改ざんされていないことを確かめます。macOS Mojave では、開発元は、提供する App について Apple からノータリゼーション (公証) を受けられるようにもなりました。その App が Apple にアップロード済みで、セキュリティチェックを通過した上で配布されていることを証明する仕組みです。

Mac で App を安全に開く – Apple サポート

Appleは現地時間2018年10月19日、Apple Developer Newsを更新し、開発者に対しXcode 10およびmacOS 10.14 Mojaveで利用可能になったこの公証サービスを利用するよう推奨しています。

 Get Your Mac Software Notarized

October 19, 2018
macOS Mojave is here. Give Mac users even more confidence in your software distributed outside the Mac App Store by submitting it to Apple to be notarized. When users on macOS Mojave first open a notarized app, installer package, or disk image, they’ll see a more streamlined Gatekeeper dialog and have confidence that it is not known malware.

Download Xcode 10 and submit your software today. In an upcoming release of macOS, Gatekeeper will require Developer ID–signed software to be notarized by Apple.

Get Your Mac Software Notarized – Apple Developer

スポンサーリンク

将来的にはAppleの公証が必要に

 現在のところ、この公証サービスには何の拘束力もなく、公証されていないアプリもGatekeeperにブロックされることなく開くことが可能ですが、公開されたDeveloper Newsにもある通り、Appleは「今後リリースするmacOSでは、GatekeeperがAppleの公証サービスを通過し、かつ署名済みのソフトウェア(アプリ)を要求する」と警告しています。

 これは、WWDC 2018のセッション702″Your Apps and the Future of macOS Security“で、CoreOSセキュリティチームのGarrett Jacobsonさんが述べていた「Notarized apps by default」にあたるようで、Garrettさんは同セッションの中で、「現在署名の無いアプリは警告だけだが、今後署名の無いアプリはエラーとなる」とコメントしてるため、将来的にはDeveloper IDの署名&Appleの公証のない野良アプリは利用できなくなると思われます。

notarized apps by default

クリックで拡大

Remember that signing issues, for now, will be warnings but are going to become errors in the future.And when macOS Mojave ships later this year, Gatekeeper will be highlighting notarized applications to users. But then in a future macOS release, Gatekeeper will be requiring notarized apps by default. And that’s all for Gatekeeper.

Your Apps and the Future of macOS Security – Apple

 Apple指している「今後リリースするmacOS」がmacOS 10.15か10.16になるのかは定かではありませんが、AppleはiMac Pro (2017)以降、Macに自社製のSoC「Apple T2」を採用し、このApple T2はmacOS/Windows起動時にOSを検証するセキュアブート」機能を採用しているため、Apple TシリーズでOSの検証、macOSのGatekeeperでアプリの検証を行う方向で動いているようです。

Apple T2によるセキュアブート

コメント

  1. 匿名 より:

    ついに来たか…まあ署名の付けられないバイナリも少数だろうし、うまく制度運用されればいいんだけどね。

  2. 匿名 より:

    まあこれを予想できないでMac買ってるやつは今の時代流石にいなかったろう

  3. 匿名 より:

    システムの深いところに入るアプリは軒並み全滅の方向になるんだろうなぁ
    冷却ファンのコントロール系のやつとかは数年後には使えなくなる

  4. 匿名 より:

    一定の担保にはなるだろうけど、トレンドマイクロのような件もあるからぁ。

  5. 匿名 より:

    最初から野良が入れられなかったiOSはそういうもんだと思って使えてるけど
    資産をどんどん切り捨てていく形になりそうで嫌だなぁ
    まぁ開発が続いてるソフトなら問題なさそうだけれど…

  6. 匿名 より:

    普通にやってるぶんには問題無いのかもしれないけど、2chとかtorとか、あと仮想通貨まわりなどのアングラ臭が漂うやつは影響あるだろうねえ。

  7. 匿名 より:

    つーかさあ。
    iPhoneもだけどさあ。
    古いソフトはアップデートしてないもの多いんだけど。
    ゲームとか特に。
    過去に遡って妨害かけんなよ。

  8. 匿名 より:

    Appleがどの辺まで許可するかによるけど、
    結果次第ではmac使うのやめることになりそう。
    余計なことばっかりするな。

  9. 匿名 より:

    MacTeXは大丈夫だろうか。TeXもシステムフォルダに入ってくるからちょっと不安。仕事の都合上TeX環境が構築できないと話にならんので、将来MacTeXがダメになったら、windowsへ乗り換えるまでだが。一応の備えでwindows版のTeXLiveも使っておこうか。

  10. 匿名 より:

    MacPortsとかHomebrewとかのパッケージの管理とか大変そう

  11. 匿名 より:

    ほとんどWinに以降していて正解だった。
    このままだと、Macは何の為のもの?

  12. 匿名 より:

    macportsユーザーはデベロッパー登録必須になるのかしら?(よくわかってない)

  13. 匿名 より:

    怪しいのは使ってる奴もアプリ含め、他OSでやれってことだろ。いいことばっかりじゃねえか。

  14. 匿名 より:

    Appleとしてはセキュリティと謳って、AppStoreの活性化と儲けにつなげるんだろうとけど、流石にapp形式以外のプログラム自体にはロックはかからないヨナ?
    プログラミングと実行に不自由が出れば、Ubuntuに乗り換えるのは可能だけど面倒。
    LinuxOSがデュエルで使える分まだマシな気がするけど、MacOSX縛りになったらもはやMacは捨てるしかない。

  15. 匿名 より:

    配布しない自分用のツール作ってんのに面倒なことさせないで欲しい

  16. 匿名 より:

    とりあえず今後のために64bit対応しましたで開発が終わったソフトがまた死にそうになるのか
    というより全員が全員xcodeで開発してるわけではないだろうし、どうやって認証済印をつけるんだろ
    有名どころだとxojo(realbasic)とかて作ってる人もいるだろうし