あなたのMacは、アプリ**を起動するたびに、本当にあなたをAppleに打ち勝つのでしょうか？これは、2020年10月12日以降、Appleのサーバーが遅くなり、最近のMacはアプリを開くのに時間がかかるようになったという疑惑が流れたものである。何が起こったのかを説明します。

情報の両方に適用されます。macOSビッグサーとmacOSカタリナ.速度低下とそれに伴うプライバシーへの懸念は、macOS Big Surでは目新しいものではありません。

macアプリが開発者証明書で署名されている理由

Macの場合、Mac App Storeやウェブからダウンロードしたアプリケーションは、開発者証明書を用いて署名されます。アプリケーションを起動するたびに、そのアプリケーションが正規の開発者によって署名されているか、改ざんされていないかを確認します。これにより、マルウェアの攻撃からお客様を守ることができます。

例えば、MozillaがFirefoxを作成する場合、Firefoxのアプリケーションファイルをコンパイルし、Mozillaの開発者証明書を用いて署名します。これは、そのファイルが正規のものであり、Mozillaによって作成されたことを証明するためのMozillaの方法です。アプリケーションファイルが改ざんされている場合、Macはその違いに気づきます。

これらの証明書は一定期間（おそらく数年間）だけ有効ですが、早期に「失効」させることができます。例えば、開発者が自分の証明書を使って悪意のあるアプリケーションに署名していることをAppleが発見した場合、Appleは証明書を失効させ、Macは失効した証明書を使ったアプリケーションを読み込まないようにすることができます。

OCSPが解説：なぜあなたのMac**は家にいるのですか？

しかし、ちょっと待ってください。AppleがあなたのMac上のアプリケーションの関連証明書を取り消したかどうかを、あなたのMacはどうやって知るのでしょうか？確認するために、Macはオンライン証明書ステータスプロトコル（OCSP）と呼ばれる方法を使用します。Webブラウザもこれを使用して、ブラウジング中にWebサイトの証明書を確認します。

アプリケーションを起動すると、Macはその証明書情報をAppleにあるサーバーに送信します。Macは、このAppleサーバー証明書が失効しているかどうかを尋ねます。そうでない場合は、Macがアプリケーションを起動します。証明書が失効している場合、Macはアプリケーションを起動することができません。

アプリケーションを起動するたびに発生するのでしょうか？

つまり、アプリケーションを起動し、終了して、4分後に再び起動しても、MacはAppleに証明書について再度問い合わせる必要はないのです。しかし、アプリケーションを起動して終了し、6分後に再び起動した場合、Macは再びAppleのサーバーに問い合わせる必要があります。

何らかの理由で、おそらくmacOSの変更により、2020年11月12日にBig-Sur Appleのサーバーが沼にはまり、非常に遅くなったのです。Appleの遅いサーバーからの応答をMacがじっと待っている間、応答はかなり遅くなり、アプリケーションのロードに時間がかかるようになったのです。

この事件後、AppleのOSCPサーバーは、12時間以内の証明書の有効性応答を覚えておくようにMacに指示するようになりました。アプリケーションを起動するたびに、Macのコンピュータは自宅に電話をかけて証明書について尋ねますが、過去12時間以内に応答があった場合は、その必要はありません。(ここでの期間に関する情報は、独立系アプリケーション開発者のジェフ・ジョンソン氏によるものです）

Macがオフラインになったらどうする？

OCSPチェックは優雅に失敗するように設計されています。お客様がオフラインの場合、Macは自動的にチェックをスキップし、通常通りアプリケーションを起動します。

MacがAppleのサーバーにアクセスできない場合、ルーターレベルでサーバーアドレスがネットワーク上でブロックされている可能性があります。Macがサーバーに到達できない場合は、チェックをスキップして、すぐにアプリケーションを起動します。

2020年11月12日の問題は、MacはAppleのサーバーに到達できるものの、サーバー自体の速度が遅いというものだった。しかし、Macは静かに失敗してアプリを起動し続けるのではなく、応答があるまで長い時間待つことになったのです。もし、サーバーが完全に停止していたとしても、誰も気づかなかっただろう。

プライバシーのリスクと、アップルが学んだこととは？

ここでは、プライバシーに関するさまざまな問題が提起されています。このことは、ハッカーでセキュリティ研究者のジェフリー・ポール氏の痛烈な指摘によく表れている。

• 証明書はアプリケーションと関連付けられている：MacがOCSPサーバーに連絡するとき、1つまたは複数のアプリケーションと関連付けられている可能性のある証明書を要求されます。技術的に言えば、Macのコンピュータは、あなたがどのアプリケーションを起動したかをAppleに伝えることはありません。例えば、Firefoxを起動すると、AppleはあなたがMozillaが作成したアプリケーションを起動したことを認識します。FirefoxかThunderbirdの可能性があるが、Appleはどちらかわからない。しかし、Torプロジェクトによって署名されたアプリケーションを起動すれば、AppleはあなたがTorブラウザを開いていることをかなりの確率で知ることができるのです。
• リクエストはIPアドレスと時刻に関連付けられる：これらのリクエストは、もちろん、お客様のIPアドレスだけでなく、日付や時刻にも関連付けることができます。これがインターネットの仕組みです。お客様のIPアドレスは、都市と州に関連付けられています。各OCSPリクエストは、あなたが起動したいアプリケーションを作成した開発者、あなたの大まかな所在地、アプリケーションを起動した日時をAppleに伝えます。
• OCSPプロトコルは暗号化されていないため、スヌーピングが可能であることを意味する。Appleだけでなく、その間にいる誰もがこの情報を見ることができるのです。ISPや職場のネットワーク管理者、あるいはインターネットトラフィックを監視するスパイ機関が、あなたとAppleの間のOSCPトラフィックを盗聴して、これらの詳細を知ることができるのです。また、これらのリクエストは、アカマイというサードパーティのコンテンツデリバリーネットワーク（CDN）を経由しています。これは、スピードアップにつながりますが、技術的に盗み見ることができる中間業者がもう一人増えることになります。

情報Macは、あなたが起動しているアプリケーションをAppleに伝えていません。その代わり、Macはあなたが起動しようとしているアプリケーションがどの開発者によって作られたかをAppleに伝えているだけなのです。もちろん、多くのデベロッパーは1つのアプリを作るだけです。この技術的な区別は、あまり意味をなさないことが多い。

(キャッシュの動作の変更に伴い、Macはアプリケーションを起動するたびにAppleに問い合わせることはなくなりましたので、ご注意ください。(5分ごとではなく、12時間ごと）。

なぜ、あなたのMacがこんなことをしなければならないのか？

Macは、iPadやiPhoneに比べ、よりオープンなプラットフォームです。Apple Mac App Store以外でも、どこからでもアプリケーションをダウンロードすることができます。

Macをマルウェアから守るために、そしてそう、Macマルウェアはますます一般的になってきているので、Appleはこのセキュリティチェックを実装しています。アプリケーションの署名に使用されている証明書が失効した場合、Macは直ちに起動し、アプリケーションを開くことを拒否することができます。これにより、アップル社は、既知の悪意のあるアプリケーションの起動をマックに止めさせることができるようになりました。

ocspのチェックを止められるか？

これらのOCSPチェックは、Macがオフラインまたはサーバーとコンタクトできない場合、Appleのサーバーを迅速かつ無音で失敗させるように設計されています。

このため、MacがAppleに接続しないようにブロックするだけで、簡単にブロックすることができます。例えば、ルーターでこのアドレスをブロックすることで、ネットワーク上のすべてのデバイスがこのアドレスに接続できないようにすることがよくあります。

残念ながら、bigsurはもはやMacのソフトウェアレベルのファイアウォールで、Macに内蔵されたtrustdプロセスがそのようなリモートサーバーにアクセスするのを防ぐことができないようです。

警告ocsp.apple.comサーバをブロックすると、Appleがアプリケーションの開発者証明書を取り消したときに、Macがそれに気づかないようになります。セキュリティ機能の無効化を選択しているため、お使いのMacが危険にさらされる可能性があります。

アップルは何を言って、何を変えると約束したのか？

Appleはこの批判を聞き入れたようで、2020年11月16日に「ウェブマスターのプライバシー保護」についてのメッセージをウェブサイトに追加した。

まず、Appleは、証明書やマルウェアチェックから得たこのデータを、Appleがあなたについて知っている他のデータと組み合わせたことはないとしています。同社は、この情報を個人が自分のマックで配布しているアプリケーションの追跡に使用しないことを約束しています。

第二に、Appleは、これらの証明書チェックは、Apple IDやIPアドレス以外のデバイス固有の情報とは無関係であると主張しています。Appleは、これらのリクエストに関連するIPアドレスの記録を停止し、Appleのログから削除するとしています。

つまり、今後1年間、2021年末までに、Appleは以下のような変更を行うとしています。

• OCSPを暗号化プロトコルに置き換える：Appleは、開発者の証明書をチェックするための暗号化されていないOCSPシステムに代わる、新しい暗号化プロトコルを作成すると述べている。これなら、間にいる人が盗み見することもないでしょう。
• スローダウンを止める：アップルは「サーバー障害に対する強力な保護」も約束しています。言い換えれば、サーバーが再びスローダウンしたためにアプリのロードが遅くなることはないということです。
• ユーザーへのオプションの提供：Appleによると、Macユーザーはこれらのセキュリティ保護をオフにすることができ、Macコンピュータが失効した開発者証明書をチェックするのを防ぐことができるそうです。

全体として、この変更により様々な問題が解消され、第三者が中途半端に嗅ぎ回ることもなくなります。Macは、あなたが開いているアプリケーションを追跡するための情報をAppleに送信しますが、Appleはその情報とあなたを関連付けないことを約束します。アップルはパフォーマンスの問題を解決することで、スローダウンをなくすこともできるはずです。

このベター・プロトコルは何ですか？Appleは、OCSPを何に置き換えるかを明言していない。セキュリティ研究者のScott Helmが指摘するように、CRLiteのようなものが、この針に糸を通すのに役立つかもしれない。MacのコンピュータがAppleからファイルをダウンロードし、定期的にアップデートすることができたらと想像してみてください。そのファイルには、すべての証明書の失効リストが圧縮されて入っている。アプリケーションを起動するたびに、Macがファイルをチェックする可能性があり、Webチェックやプライバシーの問題を排除することができます。

MacからAppleにアプリケーションハッシュが送信されることがある

ちなみに、Macは開いているアプリケーションのハッシュ情報をAppleのサーバーに送信することがあります。これは、OCSP署名チェックとは異なる。むしろ、ゲートキーパーの公証に関係する。

開発者はアプリをアップロードすると、アップルがマルウェアの有無をチェックし、安全と思われるものは「公証」してくれる。この公証されたチケット情報は、アプリに「ホチキス留め」することができます。開発者がチケット情報をアプリケーションファイルにバインドしていない場合、Macはアプリケーションの初回起動時にAppleのサーバーに確認します。

この現象は、アプリケーションを開くたびに発生するのではなく、あるバージョンのアプリケーションを最初に起動したときにのみ発生します。開発者は、バインディングによってオンラインチェックをなくすことができます。

ここでは、Macは特別な存在ではありません。例えば、windows 10pcは、ダウンロードしたアプリのデータをマイクロソフトのSmartScreenサービスにアップロードして、マルウェアの有無をチェックすることがよくあります。また、アンチウイルスソフトなどのセキュリティアプリケーションは、疑わしいアプリケーションの情報をセキュリティ会社にアップロードすることがあります。