\r\n\r\n
あなたのMacは、アプリ**を起動するたびに、本当にあなたをAppleに打ち勝つのでしょうか?これは、2020年10月12日以降、Appleのサーバーが遅くなり、最近のMacはアプリを開くのに時間がかかるようになったという疑惑が流れたものである。何が起こったのかを説明します。
情報の両方に適用されます。macOSビッグサーとmacOSカタリナ.速度低下とそれに伴うプライバシーへの懸念は、macOS Big Surでは目新しいものではありません。Macの場合、Mac App Storeやウェブからダウンロードしたアプリケーションは、開発者証明書を用いて署名されます。アプリケーションを起動するたびに、そのアプリケーションが正規の開発者によって署名されているか、改ざんされていないかを確認します。これにより、マルウェアの攻撃からお客様を守ることができます。
例えば、MozillaがFirefoxを作成する場合、Firefoxのアプリケーションファイルをコンパイルし、Mozillaの開発者証明書を用いて署名します。これは、そのファイルが正規のものであり、Mozillaによって作成されたことを証明するためのMozillaの方法です。アプリケーションファイルが改ざんされている場合、Macはその違いに気づきます。
これらの証明書は一定期間(おそらく数年間)だけ有効ですが、早期に「失効」させることができます。例えば、開発者が自分の証明書を使って悪意のあるアプリケーションに署名していることをAppleが発見した場合、Appleは証明書を失効させ、Macは失効した証明書を使ったアプリケーションを読み込まないようにすることができます。
しかし、ちょっと待ってください。AppleがあなたのMac上のアプリケーションの関連証明書を取り消したかどうかを、あなたのMacはどうやって知るのでしょうか?確認するために、Macはオンライン証明書ステータスプロトコル(OCSP)と呼ばれる方法を使用します。Webブラウザもこれを使用して、ブラウジング中にWebサイトの証明書を確認します。
アプリケーションを起動すると、Macはその証明書情報をAppleにあるサーバーに送信します。Macは、このAppleサーバー証明書が失効しているかどうかを尋ねます。そうでない場合は、Macがアプリケーションを起動します。証明書が失効している場合、Macはアプリケーションを起動することができません。
つまり、アプリケーションを起動し、終了して、4分後に再び起動しても、MacはAppleに証明書について再度問い合わせる必要はないのです。しかし、アプリケーションを起動して終了し、6分後に再び起動した場合、Macは再びAppleのサーバーに問い合わせる必要があります。
何らかの理由で、おそらくmacOSの変更により、2020年11月12日にBig-Sur Appleのサーバーが沼にはまり、非常に遅くなったのです。Appleの遅いサーバーからの応答をMacがじっと待っている間、応答はかなり遅くなり、アプリケーションのロードに時間がかかるようになったのです。
この事件後、AppleのOSCPサーバーは、12時間以内の証明書の有効性応答を覚えておくようにMacに指示するようになりました。アプリケーションを起動するたびに、Macのコンピュータは自宅に電話をかけて証明書について尋ねますが、過去12時間以内に応答があった場合は、その必要はありません。(ここでの期間に関する情報は、独立系アプリケーション開発者のジェフ・ジョンソン氏によるものです)
OCSPチェックは優雅に失敗するように設計されています。お客様がオフラインの場合、Macは自動的にチェックをスキップし、通常通りアプリケーションを起動します。
MacがAppleのサーバーにアクセスできない場合、ルーターレベルでサーバーアドレスがネットワーク上でブロックされている可能性があります。Macがサーバーに到達できない場合は、チェックをスキップして、すぐにアプリケーションを起動します。
2020年11月12日の問題は、MacはAppleのサーバーに到達できるものの、サーバー自体の速度が遅いというものだった。しかし、Macは静かに失敗してアプリを起動し続けるのではなく、応答があるまで長い時間待つことになったのです。もし、サーバーが完全に停止していたとしても、誰も気づかなかっただろう。
ここでは、プライバシーに関するさまざまな問題が提起されています。このことは、ハッカーでセキュリティ研究者のジェフリー・ポール氏の痛烈な指摘によく表れている。
(キャッシュの動作の変更に伴い、Macはアプリケーションを起動するたびにAppleに問い合わせることはなくなりましたので、ご注意ください。(5分ごとではなく、12時間ごと)。
Macは、iPadやiPhoneに比べ、よりオープンなプラットフォームです。Apple Mac App Store以外でも、どこからでもアプリケーションをダウンロードすることができます。
Macをマルウェアから守るために、そしてそう、Macマルウェアはますます一般的になってきているので、Appleはこのセキュリティチェックを実装しています。アプリケーションの署名に使用されている証明書が失効した場合、Macは直ちに起動し、アプリケーションを開くことを拒否することができます。これにより、アップル社は、既知の悪意のあるアプリケーションの起動をマックに止めさせることができるようになりました。
これらのOCSPチェックは、Macがオフラインまたはサーバーとコンタクトできない場合、Appleのサーバーを迅速かつ無音で失敗させるように設計されています。
このため、MacがAppleに接続しないようにブロックするだけで、簡単にブロックすることができます。例えば、ルーターでこのアドレスをブロックすることで、ネットワーク上のすべてのデバイスがこのアドレスに接続できないようにすることがよくあります。
残念ながら、bigsurはもはやMacのソフトウェアレベルのファイアウォールで、Macに内蔵されたtrustdプロセスがそのようなリモートサーバーにアクセスするのを防ぐことができないようです。
警告ocsp.apple.comサーバをブロックすると、Appleがアプリケーションの開発者証明書を取り消したときに、Macがそれに気づかないようになります。セキュリティ機能の無効化を選択しているため、お使いのMacが危険にさらされる可能性があります。Appleはこの批判を聞き入れたようで、2020年11月16日に「ウェブマスターのプライバシー保護」についてのメッセージをウェブサイトに追加した。
まず、Appleは、証明書やマルウェアチェックから得たこのデータを、Appleがあなたについて知っている他のデータと組み合わせたことはないとしています。同社は、この情報を個人が自分のマックで配布しているアプリケーションの追跡に使用しないことを約束しています。
第二に、Appleは、これらの証明書チェックは、Apple IDやIPアドレス以外のデバイス固有の情報とは無関係であると主張しています。Appleは、これらのリクエストに関連するIPアドレスの記録を停止し、Appleのログから削除するとしています。
つまり、今後1年間、2021年末までに、Appleは以下のような変更を行うとしています。
全体として、この変更により様々な問題が解消され、第三者が中途半端に嗅ぎ回ることもなくなります。Macは、あなたが開いているアプリケーションを追跡するための情報をAppleに送信しますが、Appleはその情報とあなたを関連付けないことを約束します。アップルはパフォーマンスの問題を解決することで、スローダウンをなくすこともできるはずです。
このベター・プロトコルは何ですか?Appleは、OCSPを何に置き換えるかを明言していない。セキュリティ研究者のScott Helmが指摘するように、CRLiteのようなものが、この針に糸を通すのに役立つかもしれない。MacのコンピュータがAppleからファイルをダウンロードし、定期的にアップデートすることができたらと想像してみてください。そのファイルには、すべての証明書の失効リストが圧縮されて入っている。アプリケーションを起動するたびに、Macがファイルをチェックする可能性があり、Webチェックやプライバシーの問題を排除することができます。
ちなみに、Macは開いているアプリケーションのハッシュ情報をAppleのサーバーに送信することがあります。これは、OCSP署名チェックとは異なる。むしろ、ゲートキーパーの公証に関係する。
開発者はアプリをアップロードすると、アップルがマルウェアの有無をチェックし、安全と思われるものは「公証」してくれる。この公証されたチケット情報は、アプリに「ホチキス留め」することができます。開発者がチケット情報をアプリケーションファイルにバインドしていない場合、Macはアプリケーションの初回起動時にAppleのサーバーに確認します。
この現象は、アプリケーションを開くたびに発生するのではなく、あるバージョンのアプリケーションを最初に起動したときにのみ発生します。開発者は、バインディングによってオンラインチェックをなくすことができます。
ここでは、Macは特別な存在ではありません。例えば、windows 10pcは、ダウンロードしたアプリのデータをマイクロソフトのSmartScreenサービスにアップロードして、マルウェアの有無をチェックすることがよくあります。また、アンチウイルスソフトなどのセキュリティアプリケーションは、疑わしいアプリケーションの情報をセキュリティ会社にアップロードすることがあります。