macOS 15 Sequoiaでは、コンテキストメニューからのオーバーライドに加え「spctl」コマンドを利用したGatekeeperの無効化も非サポートに。

spctl --disable macOS 15 Sequoia
記事内に広告が含まれています。
スポンサーリンク

 macOS 15 Sequoiaでは、コンテキストメニューからのオーバーライドに加え「spctl」コマンドを利用したGatekeeperの無効化が非サポートになるそうです。詳細は以下から。

Sentinel for macOS Gatekeeper

 Appleは現地時間2024年08月06日、今年の秋にもリリースを予定しているmacOS 15 Sequoiaでは悪意のあるアプリやコマンドからユーザーを保護するためにランタイム保護をアップデートし、アプリをControl+クリック(右クリック)して表示されるコンテキストメニューからの[開く]を利用したGatekeeperのオーバーライド(無視/無効化)を無効にすると発表しましたが、

Updates to runtime protection in macOS Sequoia

macOS Sequoiaでは、ユーザーが正しく署名されていない、または公証されていないソフトウェアを開くと、「control」キーを押しながらクリックしてもGatekeeperをオーバーライドできなくなります。ユーザーはソフトウェアの実行を許可する前に、「システム設定」 > 「プライバシーとセキュリティ」の順に移動してソフトウェアのセキュリティ情報を確認する必要があります。

macOS Sequoiaのランタイム保護のアップデート – Apple Developer

AppleはコンテキストメニューからのGatekeeperのオーバーライドに加え、Gatekeeperを制御するコマンドラインツール「spctl (SecAssessment system policy security Control)」からのGatekeeperの無効化を非サポートとするそうです。

spctl

macOS 14 Sonomaのspctlコマンド

System Policy Basic Usage:
       spctl --assess [--type type] [-v] path ... # assessment
       spctl --add [--type type] [--path|--requirement|--anchor|--hash] spec ... # add rule(s)
       spctl [--enable|--disable|--remove] [--type type] [--path|--requirement|--anchor|--hash|--rule] spec # change rule(s)
       spctl --status | --global-enable | --global-disable # system global switch

macOS 15 Sequoiaのspctlコマンド

 macOSのGatekeeperの無効化や拡張属性を削除し開発者署名や公証を取得していないアプリを開けるようにしてくれるアプリSentinelを開発するAlin Lupascuさんや米Kandji MDMでセキュリティリ研究者をされているBrandon Daltonさんによると、AppleはmacOS 15 Sequoiaでspctlコマンドをアップデートし、”spctl –disable”オプションを利用できなくしているそうです。

This operation is no longer supported. To disable the assessment subsystem, please use configuration profiles.

 Appleは開発者やシステム管理者に対し、”spctl”コマンドの替わりにユーザー承認をとり構成プロファイル(Configuration profiles)をインストールさせてシステム設定アプリで管理できる形でGatekeeperを無効化する方法を推奨している他、

Sentinel

構成プロファイルを利用したGatekeeperの無効化に対応したSentinel

新たに追加された”spctl –allow-disable”を利用すると、8分間システム設定アプリの[プライバシーとセキュリティ]にApp Store以外からダウンロードした署名/公証なしの全てのアプリ(Anywhere)の実行を許可するオプションが表示され、これを選択するとGatekeeperを無効化し全てのアプリを実行できるようになるそうですが、

"spctl --allow-disable"

“spctl –allow-disable”を実行後に表示される”Anywhere”

この設定を選択するとmacOSのセキュリティが低下することが通知され、さらに設定は30日間使用されないと自動的にリセットされる仕様になっているため、macOS 15 Sequoia以降はユーザーに見えない形でGatekeeperを無効化&無効化状態を維持させておくことができなくなるようです。

コメント

タイトルとURLをコピーしました