macOS 15 Sequoiaでは、コンテキストメニューからのオーバーライドに加え「spctl」コマンドを利用したGatekeeperの無効化が非サポートになるそうです。詳細は以下から。
Appleは現地時間2024年08月06日、今年の秋にもリリースを予定しているmacOS 15 Sequoiaでは悪意のあるアプリやコマンドからユーザーを保護するためにランタイム保護をアップデートし、アプリをControl+クリック(右クリック)して表示されるコンテキストメニューからの[開く]を利用したGatekeeperのオーバーライド(無視/無効化)を無効にすると発表しましたが、
macOS Sequoiaでは、ユーザーが正しく署名されていない、または公証されていないソフトウェアを開くと、「control」キーを押しながらクリックしてもGatekeeperをオーバーライドできなくなります。ユーザーはソフトウェアの実行を許可する前に、「システム設定」 > 「プライバシーとセキュリティ」の順に移動してソフトウェアのセキュリティ情報を確認する必要があります。
macOS Sequoiaのランタイム保護のアップデート – Apple Developer
AppleはコンテキストメニューからのGatekeeperのオーバーライドに加え、Gatekeeperを制御するコマンドラインツール「spctl (SecAssessment system policy security Control)」からのGatekeeperの無効化を非サポートとするそうです。
macOS 14 Sonomaのspctlコマンド
System Policy Basic Usage:
spctl --assess [--type type] [-v] path ... # assessment
spctl --add [--type type] [--path|--requirement|--anchor|--hash] spec ... # add rule(s)
spctl [--enable|--disable|--remove] [--type type] [--path|--requirement|--anchor|--hash|--rule] spec # change rule(s)
spctl --status | --global-enable | --global-disable # system global switch
macOS 15 Sequoiaのspctlコマンド
macOSのGatekeeperの無効化や拡張属性を削除し開発者署名や公証を取得していないアプリを開けるようにしてくれるアプリ「Sentinel」を開発するAlin Lupascuさんや米Kandji MDMでセキュリティリ研究者をされているBrandon Daltonさんによると、AppleはmacOS 15 Sequoiaでspctlコマンドをアップデートし、”spctl –disable”オプションを利用できなくしているそうです。
There were some updates to `spctl` and Gatekeeper artifacts in macOS 15. Wrote up some initial findings here: https://t.co/frkaidC4sE pic.twitter.com/7T9DG6dCQv
— Brandon Dalton (@PartyD0lphin) August 6, 2024
This operation is no longer supported. To disable the assessment subsystem, please use configuration profiles.
Appleは開発者やシステム管理者に対し、”spctl”コマンドの替わりにユーザー承認をとり構成プロファイル(Configuration profiles)をインストールさせてシステム設定アプリで管理できる形でGatekeeperを無効化する方法を推奨している他、
構成プロファイルを利用したGatekeeperの無効化に対応したSentinel
新たに追加された”spctl –allow-disable”を利用すると、8分間システム設定アプリの[プライバシーとセキュリティ]にApp Store以外からダウンロードした署名/公証なしの全てのアプリ(Anywhere)の実行を許可するオプションが表示され、これを選択するとGatekeeperを無効化し全てのアプリを実行できるようになるそうですが、
“spctl –allow-disable”を実行後に表示される”Anywhere”
この設定を選択するとmacOSのセキュリティが低下することが通知され、さらに設定は30日間使用されないと自動的にリセットされる仕様になっているため、macOS 15 Sequoia以降はユーザーに見えない形でGatekeeperを無効化&無効化状態を維持させておくことができなくなるようです。
- Sequoia Gatekeeper Updates – Swiftly Detecting Blog
- alienator88/Sentinel: SwiftUI gatekeeper configuration GUI – GitHub
コメント