14 セキュリティソフトを試してみる (おまけ: Mac のセキュリティの考え方)

セキュリティソフトを導入して、きちんと使うように設定することを当局から求められている。

セキュリティ対策というか方針は色々なやり方がありうると考えている。 Mac は Windows とはかなり違っている。 macOS は UNIX の一種であるらしいが、古典的な UNIX とは違って、 root だからと言って何でも出来るわけではない。

Mac のセキュリティの考え方

UNIX では、root という管理をするためのユーザーがある。 (シングルユーザー・モードを別にすると) 通常は root でない一般ユーザーとして利用して、管理の必要があるときだけ一時的に root にスイッチして作業する。私の師匠は「UNIX ならばウイルスにかからない」と言った。今となってはそんなに単純ではないが (例えば管理者権限で GUI 使ったりもするので…)、コマンドライン・インターフェイスで利用する限り、本当かもしれない。

ユーザーをスイッチする su コマンドがあるわけであるが、そのうちに sudo コマンドを利用することが推奨されるようになった。これはコマンドを管理者権限で実行するための仕掛けである。 sudo を実行できるユーザーを指定できる、 sudo を実行した履歴を残しやすいなど、 su と比べたときいくつか利点がある。 root としてログインすること、 root にスイッチすること、どちらもほぼ必要なくなった。

これはマルウェア対策のために導入されたというわけではないが、 FileVault によるディスクの暗号化が普通になった (10.3で導入されて、ゆっくりと普及してきた)。これによって情報の秘匿性が高まり、セキュリティが向上した。それまで物理的にシステムが盗まれてしまえば (あるいは部屋に侵入されてしまえば)、実質的に何でもし放題であったのが、パスワードを知らなければ何も出来ない、ということになった。

これまでは管理者権限があれば「何でも実行可能」であったが、 macOS では SIP (System Integrity Protection) が導入され (10.11)、たとえ管理者であっても変更が不可能になるような設定ができるようになった。導入当初は面倒くさく感じ、一時的に SIP を Off にして設定変更などしたものだが、いまでは SIP を On のまま使うのが普通になった。これによって、“システムの部分” を変更する攻撃はかなり難しくなった。

ネットでダウンロードしたアプリには、 com.apple.quarantine　という拡張属性がつく。これがついていると初回起動時に Gatekeeper が発動する。

Gatekeeper (英単語の意味としては門番) というのが導入された (v10.5)。ブラウザで落とした .app/.dmg を Finder で開くような場合、かなり厳格に検査が行われる。 Apple が事前に検査をしておいて、それにパスしたことの証明が必要となり、一度証明してあっても問題が発見されれば後からでも開くのが不可にできる、という仕組みである。これも導入当初は面倒くさく感じ、回避手段を考えたが、いまではよほどのことがない限り回避しないのが普通になった。
(一つ注意: WWWサーバーからファイルを入手するのに、 WWWブラウザーを使うのではなく、curl コマンドを使う場合は、取得したファイルに拡張属性 com.apple.quarantine がつかないことがあり (xattr -l ファイル名 で確認できる)、その場合は Gatekeeper が働かない。自己責任ということになる。)

公証 (Notarization) という仕組みも導入された。 App Store 外から配布されるアプリについて、 Apple が事前にマルウェア検査を行い、「既知の悪性コードが見つからなかったこと」を確認する仕組みである。 Developer ID 署名済みのソフトウェアは、 Gatekeeper を通過するには公証が必要であるとなった (2020/2/3 以降)。

XProtect は既知のマルウェアの定義リストを持っていて、ファイルがダウンロードされたり、アプリを初めて開かれたりするときにスキャンを実行し、マルウェアが検出された場合はブロックして通知する、という仕組みである。定義リストは、 macOS のアップデートとは別に自動的に更新される。ユーザーは気づかないが、裏で結構お仕事してくれているわけである。

Windows よりは整理されている感じがする。 Apple が面倒を見られる部分は、Apple が責任を持つ、そういうように受け取れる。 (Windwos の場合は、色々なものがあるけれど、結局のところ何を認めるのかの基準について、論理を記述するのがとても難しく感じる。)

Mac の場合、自分で make するものとか、 MacPorts/Homebrew のように port をインストール・更新するものについては、 Appleの責任ではないと考えられているのかな。この辺はおいおい調べてみよう。

MacTeX は、年に1度、1つだけ pkg が提供される。これを正しく入手出来たことはチェックサムで検査できる。 port をアップデートする際にも、鍵でサイトの検査ができるようだ (検査をサボることもできるけれど、特に難しくはないので、私は毎回検査している)。

FreeFEM はこの点、雑な感じがしなくもない。改善してほしい気がする。あるいは自分でソースから make するのかな。

閑話休題。

セキュリティソフトの選択については、AI に尋ねてみたりした。私が名前を知らないものが色々出て来た (私が物知らずということ)。大学の備品である Mac については、セキュリティ・ソフトは校費で導入するのが自然だろう。校費で支払いがしやすい、ということも考慮に入れて選定した。何を使っているかは、言わない方がいいのかもしれないので、名前はここに書かない。

早速クイック・スキャンしてみた。問題は発見されず。

続いてフル・スキャン。 200個近いものが指摘された (私は多重にバックアップしていて、今回はバックアップファイルもスキャンしたため、実質的には1つのものが、 3重にカウントされている。だから70未満と言うこともできる)。非常に古いものもあり (削除しておくべきだった)、最近のものはさらに少ない。ほとんど全てはメール、それも全部 SPAM 判定されたものであった。なるほど。SPAM 処理はちゃんと仕事をしている、ということができる。

ただ1つだけ、某部局からの指示で、自分で大学の WWW サイトからダウンロードした zip ファイルがあった。結局は不要になったのだけれど、中身を調べて報告すべきなのかしら。これは少しひやっとする (締切はまだずっと先だ、そのときが来たら、と思って保存しただけで開かなくて、結局必要がなくなったわけである)。まあ、開こうとしても、何かの仕掛けが働いて大事には至らなかったと思うけれど、 SPAMメール以外でも問題のあるものがやって来ることはあると。

そうだ、宿題のファイルをたくさん保存している Mac をスキャンしてみるべきなのかな (PDFが主体だけれど、時々こちらの指示を無視して、 Word とか Pages とか PowerPoint とか送って来る人もいる)。これらのファイルは Oh-o! Meiji を通っているので、そこでスキャンされているはずだけれど。

桂田祐史