OS X Mountain Lionの新しいセキュリティ機能 | act2.com blog
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

ブログ画像一覧を見る

このブログをフォローする

OS X Mountain Lionの新しいセキュリティ機能

OS X Mountain Lionの新しいセキュリティ機能

 ※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。


昨日Apple は、Macで実行されるオペレーティングシステムの最新バージョンであるOS X 10.8 Mountain Lionを発売しました。
AppleがMountain Lionで追加した新機能の一部は、iPhone、iPad、およびiPod touchで使用されているオペレーティングシステムであるiOSで使用している多くの機能やアイデアがOS Xに融合されたものです。
 

しかし、我々が注目しなければならないのはMountain Lionに追加されたり、Mac OS X 10.7 Lionと比べて変更された多くのセキュリティ機能です。
以下では、Mountain Lionで追加された、あるいは変更されたセキュリティ機能について触れてみたいと思います:



サンドボックス


Mountain Lionの代表的セキュリティ機能の1つに、サンドボックスがあります。
本来の「サンドボックス」という単語は、子供が安全に遊べる遊び場の範囲を区切るものを意味します。
コンピュータセクイリティの世界でも、サンドボックスは似たように使われます。
アプリケーションはある一定の領域を超えず、想定されていない処理が行われないように制限された「サンドボックス」内でのみ実行されます。


サンドボックスなしだと、アプリケーションはMac上のほぼすべてのファイルを読み書きできます(どこまで読み書きできるかは、管理者アカウントを使用しているかどうかで決まります。管理者アカウントを使用していると、アプリケーションには標準のユーザアカウントよりも多くの権利が与えられます)
アプリケーションがシステムファイルを使用する必要がない場合でも、あえて読み書きしようとすれば可能なのです。
そのため、アプリケーションにバグがあれば、重要なファイルを変更したり、削除してしまうこともあります。
そして、そのアプリケーションがユーザが騙されてインストールしたトロイの木馬のようなマルウェアだとしたら、何でも好き勝手にできる権利を持っていることになります。


一方、アプリケーションがサンドボックス内で実行されていれば、その権利は制限されます。
アプリケーションが使う必要がないファイルの読み書きは禁止され、その設定レベルにより許可された特定のファイルおよびフォルダの読み書きだけが可能となります。
iPhoneiPadをお使いなら、こうした制限や許可をご存知でしょう。
iPhoneiPadでは、お使いのアプリケーションが編集したり使用できるファイルはそのアプリケーションが作成したファイルか、ユーザが明示的にアプリケーション内に読み込んだファイルだけです。


サンドボックスは、トロイの木馬をインストールするリスクを排除するだけでなく、Java、Flash、QuickTime、など、ウェブページ由来の脅威をブロックできる点で重要です。
こうした機能を利用する脅威は、理論的に言えば、ウェブブラウザの領域以外で動作することはできなくなるからです。




Gatekeeper


Mountain Lionのセキュリティのもう1つのウリは、特定のアプリケーションがMacにインストールされることを防ぐ「Gatekeeper」です。
Gatekeeperは、アプリケーション内の「署名」をチェックします。
この署名とは、アプリケーションに含まれている一種の証明書で、Mountain Lionにアプリケーションの出自を知らせるものです。
署名には、Mac App Store からダウンロードされたアプリケーションに含まれるものと、Appleに登録していて開発者IDを持つ開発者用のものの2種類があります。


Gatekeeperは、Macにインストールできるアプリケーションの種類として、3つの選択肢を用意しています。






システム環境設定のセキュリティとプライバシーの一般タブにある、ダウンロードしたアプリケーションの実行許可オプションでは、次の選択肢が選べます:



  • Mac App Storeからのアプリケーションのみを許可
    この選択肢を選ぶと、Mac App Storeから入手したアプリケーションだけが実行できるようになります。この選択肢は、子供が使うMacなどにはよいアイデアかも知れません。しかし、実際のところ、Macを使うほとんどの人にとって、実用になりません。例えば、Microsoft OfficeAdobeCreative Suiteアプリケーションは、Mac App Storeで販売されていません(発売されるかも分かりません)。この選択肢は、こうしたアプリケーションのインストールをブロックします。ただし、Gatekeeperは、すでにインストールされているアプリケーション、あるいはこの選択肢がチェックされていない状態でインストールされたアプリケーションはブロックしません。

  • Mac App Storeと確認済みの開発元からのアプリケーションを許可
    この設定を選択すると、Mac App Storeで提供されるアプリケーションと、Appleに登録していて開発者IDを持っている開発者が提供するアプリケーションの両方が使用できます。例えば、Integoのソフトウェアを使う場合、この選択肢を選んでください。Integoは、Appleに登録された開発者なので、Mac App Storeで販売されていないIntegoのアプリケーションもインストールできるのです。

  • すべてのアプリケーションを許可:インストールするアプリケーションについて不安がなく、様々なウェブサイトからダウンロードしたソフトウェアをインストールしたければ、この設定を選んでください。




上記の設定で許可されていないアプリケーションをインストールあるいは起動しようとすると、次のような警告が表示されます:







すべてのアプリケーションを許可を選ぶと、次のような警告が表示されます:





この警告では、特定のアプリケーションのためにGatekeeperをバイパスする方法が説明されています。
最も制限がきつい設定を選んでも、アプリケーションのアイコンを右クリックあるいはcontrolキーを押しながらクリックすることで起動することができます。
この場合、そのアプリケーションを本当に起動して良いのか確認する警告が表示されるので、アプリケーションが特定できない開発者のものであることが分かります。





管理者でないユーザが上の方法でアプリケーションを開こうとすると、管理者のユーザ名とパスワードが要求されます。
つまり、標準のユーザは、上の方法でアプリケーションを起動することはできません。




セキュリティとプライバシ設定の一般タブにある詳細ボタンでは、OS Xが「安全なダウンロードリスト」をダウンロードするか指定できます。
これは、前出の2番目の設定が選ばれている時に開くことができるアプリケーションを提供する登録開発者のリストです。





Gatekeeperが対象とするのはアプリケーションだけであり、しかも初めて起動される時にだけチェックする点は注意が必要です。
Javaアプレットを使うFlashbackの亜種のようなマルウェアは、ウェブページ内の要素ですからブロックされません。
ウェブブラウザの脆弱性を突いてくる他のマルウェアでも同様です。


また、MacLionからMountain Lionにアップグレードした場合、GatekeeperはすでにMac上にあるアプリケーションの起動を邪魔しません。
アップグレード後にインストールされたアプリケーションだけが対象になるので、Macをマルウェアから保護するためには何をダウンロードするかについて常に注意し続けることが大切です。


ソフトウェアアップデート


Mountain Lionでは、OS Xとそのアプリケーションをアップデートする新しい方法を導入されました。
これまでMac OS Xで使ってきたソフトウェアアップデート・アプリケーションの代わりに、Mountain LionではすべてのアップデートがMac App Storeアプリケーションを介して提供されます。
これまで同様にソフトウェアアップデート環境設定はありますが、アップデート関連の設定を変更するためだけに使われ、アップデートを自動で確認するかどうか、そしてアップデートをバックグラウンドでダウンロードしてインストールするかを指定できます。





アップデートがあると、通知センターが警告を表示します。
それと同時に、Dock内にMac App Storeアイコンがあれば、アイコンにバッジが表示されます。
Mac App Storeアプリケーションを起動した際、OS Xあるいは購入したアプリのアップデートがあればアップデートタブにも表示されます。
もちろん、Mac App Storeで提供されたのではないソフトウェアのアップデートは、従来通りに実行しなければなりません。
それは、アプリケーションでアップデートを確認といったメニューで呼び出される内蔵のアップデート機能だったり、アプリケーションの新しいバージョンをウェブサイトから手動でダウンロードして置き換える方法だったりするでしょう。


IntegoMac Security Blogでは、多くのMacユーザが使用しているアプリケーションの重要なセキュリティアップデートについて情報を提供しています。
例えばSafari以外のウェブブラウザは、それぞれ独自にアップデートしなければなりません。
Adobe Flash Playerなどのプラグインも同様です。
Mac App Storeが多くのアップデートのコントロールタワーになることは確実ですが、ユーザが自分でアップデートしなければならないケースもまだまだあります。


アップデートの頻度を指定することはもうできません。
確認は毎日行われます。ユーザは、自動で確認するか、しないかしか選べません。ただし、その設定に関わらず、Mountain Lionは、セキュリティアップデートを毎日確認します。


また、ソフトウェアアップデート環境設定では、ソフトウェアのアップデートがあるかどうかも通知します。アップデートがある場合、今すぐ確認ボタンは、アップデートを表示に変わり、クリックすることでApp Storeが開いて、利用できるアップデートを表示できます。


プライバシー設定


Mountain Lionには、その多くがLionにも搭載されていた、いくつものプライバシーオプションが含まれています。
例えば、システム環境設定のセキュリティとプライバシー画面ではプライバシータブで位置情報サービスの有効/無効を切り替え、どのアプリケーションがこの機能を利用できるか指定できると共に過去24時間以内にこの機能を使ったアプリケーションを確認できます。


連絡先では、連絡先(旧アドレスブック)にアクセスするアプリケーションを確認できます。
特定のアプリケーションによるアクセスを無効することも可能です。
連絡先にアクセスしようとするアプリケーションを初めて起動すると、許可するかどうか確認するダイアログが表示されるので、許可するか禁止するか選べます。


次の項目は、お使いのTwitterアカウント情報にアクセスしようとするアプリケーションを表示します(メール/連絡先/カレンダー設定でTwitterアカウントを登録している場合)
Macで使用しているアプリケーションによって、さらに他の項目が表示されることがあります。


最後に、診断と使用状況は、匿名の診断情報をAppleに送るかどうか設定できます。


Safariの環境設定にもプライバシータブがあります。
ここに、2つの新しい設定が追加されています。
1つ目のWebサイトにトラッキングの停止を求めるは、ウェブブラウザのDo Not Trackヘッダを有効にします。
Do Not Trackは、広告主やウェブサイトにあなたをトラッキングしないように依頼する任意のシステムです。
ただし、ウェブブラウザでこの設定を使用していても、実際のところ広告主には無視されてしまうようです。


2番目の設定の検索エンジンで候補を表示しないは、検索エンジンでキーワードを入力した際の候補の自動表示を無効にできます。
Appleは、この設定をチェックすることで検索のプライバシーを維持できると言っていますが、我々が試験した限りでは効果は認められませんでした。


より安全な閲覧


ウェブサイトのパスワードを管理するための機能がMountain Lionで追加されました。
ユーザ名とパスワードを使ってログインしたすべてのウェブサイトが、Safariの環境設定にある新しいパスワードタブに表示されます。
サイト、ユーザ名およびパスワードを確認でき、項目を右クリックすることでサイト名、ユーザ名あるいはパスワードをコピーできます。





パスワードを表示をクリックすれば、Safariが保管しているすべてのパスワードを表示できます。
サイトを個々にあるいは一括して認証情報ごと削除できます。


実は、Safariは、キーチェーンに保管されている情報をこの画面に表示しているだけなので、同じ内容はキーチェーンアクセス・ユーティリティでも確認できますが、Safariの環境設定画面で表示した方が簡単で分かりやすいでしょう。


また、Safariのちょっとした機能で、セキュアなウェブサイトに接続しているかどうかを確認できます。
セキュアなウェブサイトとは、送信される情報を暗号化するためにhttpsプロトコルを使うサイトです。
ウェブサイトで何かを購入する場合、クレジットカード番号が転送中に第三者に、あるいはウェブサイトの運営者に知られないためにも重要です。


ほとんどのウェブブラウザはセキュアなウェブサイトを示すために錠前のような表示を使います。
Mountain LionSafari 6では、使用中のウェブサイトがセキュアかどうか、もっと分かりやすく表示します。
錠前と「https」という文字が表示されるからです:





さらに、https証明書の「extended validation(EV)」のために、Safariのアドレスバーには、使用されている証明書の企業名が緑で強調されて表示されます:





これは、企業が本当に本物である証拠を提出した上で、要求できる特別な証明書です。




ペアレンタルコントロール


OS Xのペアレンタルコントロール環境設定は、Macを使う子供のために最低限の保護を提供するものです。
加えられた変更は、Game Centerでマルチプレイヤーゲームに参加できるか、Game Centerの友達の追加を許可するかだけです。







ペアレンタルコントロールがアカウントに適用された時、音声入力の使用を無効にする設定もあります。
ちなみにデフォルトでは無効になっています。




音声入力


上で、音声入力に触れましたから、ここで少し補足しておきましょう。
音声入力に対応するiOS端末を使っていれば、ユーザがしゃべった内容をAppleがリモートサーバに送り、テキストに変換する機能についてご存知でしょう。
Appleは次のように言っています:


お使いのコンピュータは、ユーザの名前とニックネーム、および連絡先内の名前、ニックネーム、そしてユーザとの関係(例えば、父)など、その他の情報もAppleに送ります。
これらのすべての情報が、しゃべった内容を音声入力が正しく理解する助けとなります。
ユーザのデータは、ユーザが使用する他のAppleのサービスのためにAppleが保管している情報とリンクされることはありません。


Appleに個人情報が転送されることに不安を感じるなら、音声入力機能は使わない方がよいでしょう。
音声入力は、音声入力と読み上げ設定画面で、有効/無効がいつでも切り替えられます。


By Peter James on July 26, 2012


出典:Intego Security Blog

Twitter:@IntegoSecurity






ウイルスバリア X6

(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)

 ・ウイルスバリア X6 の特設ページを見る

 ・製品詳細を見る



インターネットセキュリティバリア

(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)

 ・製品詳細を見る



Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。

 Twitter:@act2com

 Twitter:@act2support





ブログ画像一覧を見る

このブログをフォローする