macOS 10.15 Catalinaでは全ての新しいアプリやパッケージがAppleの公証を必要とし、Gatekeeperの機能が拡張される。

公証サービス(Software Notarized) macOS 10.15 Catalina
記事内に広告が含まれています。
スポンサーリンク
スポンサーリンク
スポンサーリンク

 macOS 10.15 Catalinaでは全ての新しいアプリやパッケージがAppleの公証を受けること必須となり、GatekeeperがNSTaskやExecにも拡張されるそうです。詳細は以下から。

macOS 10.15 Catalina

 Appleは現地時間2019年06月03日、2019年秋にリリースする次期Mac用OS「macOS 10.15 Catalina」を発表しましたが、その後に開催されたセッション 103Platforms State of the Unionおよび701Advances in macOS Securityによると、macOS CatalinaではAppleの公証サービス(Software Notarized)をパスしたアプリのみがGatekeeperにブロックされず起動するそうです。

公証サービス(Software Notarized)

Appleの公証サービス

 AppleはWWDC 2018でMac App Storeはもちろん、開発者の個人サイトやホスティングサービスなどMac App Store外で公開/配布されているアプリ(いわゆる「野良アプリ」)に対し、これらのアプリ内に悪意のあるソフトウェアが含まれていないことを自動的にチェックする公証サービスApple Notary Serviceが開始されましたが、

notarized apps by default

クリックで拡大

Appleによると、この1年でCISCOやVMware、Oracle、Mozilla、VLC、Microsoft、Omni Group、Zoomなどが公証サービスに対応し、送られてきたアプリの95%が平均15分以下で公証サービスをパスしたそうです。

All About Notarization

クリックで拡大

 そして、セッション701「Advances in macOS Security」によると、AppleはmacOS CatalinaでGatekeeperにブロックされず起動するアプリに公証をデフォルトで取得するように要求を強化するそうで、この変更は現地時間2019年06月01日からはじまっており、

Notarization-Requirement-for-Mac-Software

Mac apps, installer packages, and kernel extensions that are signed with Developer ID must also be notarized by Apple in order to run on macOS Catalina. This will help give users more confidence that the software they download and run, no matter where they get it from, is not malware by showing a more streamlined Gatekeeper interface.

News and Updates – Apple

加えて、macOSのGatekeeperは悪意のあるコンテンツの検出、署名&ローカルポリシーのチェック、アプリが初めて起動された際のユーザー承認をより強固にするため拡張され、NSTaskやexec/posix_spawn、NSBundle/dlopenも対象にし、検疫のために隔離されていない(Non-quarantined)アプリに対しても悪意のあるコンテンツ検出を行うそうです。

Gatekeeper content scan

クリックで拡大

 登壇されたCoreOSセキュリティチームのGarrett Jacobsonさんは最後に、我々のゴールはmacOSをiOSのようにセキュアにすることだとして、将来のmacOSでは未署名のコードはデフォルトで動かなくなるとしているので、将来のmacOSではセキュリティレベルを下げずにデフォルトのシステム設定でコードを動かす方法も使えなくなるかもしれません。

In a future version of macOS, unsigned code will not run by default

コメント

  1. 匿名 より:

    サードアプリをこんなガチガチに固めても、肝心のOSがガバガバなんじゃあ意味が…

    • 匿名君へ より:

      ↑ 具体的にどの部分が「ガバガバ」なんだか…ボキャブラリーの少ないネットコメント例

      • 匿名 より:

        ↑ 今までのリリースノートすら見てないってのがよくわかる語彙力。
        フリーソフトでOS作ってるもんだから、バグが 数年間放置とかザラじゃん。

        リリースノートすら見ないでガバガバじゃ無いと思ってるようなユーザーのせいで、どんどんやりづらくなる訳。

        • 匿名 より:

          > フリーソフトでOS作ってるもんだから

          まさか、フリーソフト使ってることがバグの原因だと考えてるのか?

  2. 匿名 より:

    何回言われてもリリースノートを絶対読まないから、そういう言葉しか出てこない訳よ。
    これから先も絶対読まないっしょ。英文を苦にしない人とそうで無い人の違い。

    日本語で記事がヒットしないと、事実が存在しないと信じ込む人居るよね。

  3. 匿名 より:

    セキュアかどうかより自由かどうかのほうが気になる
    自己責任でインストールできる現状は許せるんだが

タイトルとURLをコピーしました