Pages

2013年3月28日木曜日

OS X 内蔵のセキュリティ機能でも十分なのでしょうか?


 ※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。



いくつかの有名なMac関係メーカを襲ったマルウェアおよび Pintsized として知られるマルウェアが OS X のセキュリティ機能を擦り抜けた事実に関するニュースをあちこちで見かけます。
Apple の内蔵セキュリティ機能が有益で無防備でインターネットを使うよりはましであることは確かですが、完全なセキュリティ・ソリューションとして設計されたものでもありません。
これらのセキュリティ機能をくぐり抜ける単純な方法がいくつもあり、バイパスされた場合に対処する機能は用意されていません。

「OS X のセキュリティ機能とはどんなものか? 役に立つのか? なぜ回避されてしまうのか?」と疑問を持っている読者もいるでしょう。
今回は、Apple が提供する主なセキュリティ機能についてご説明します。

XProtect および Gatekeeper



XProtect の目的は、多くのユーザに実際に影響を与えた問題や特定の脅威に対処することです。
一般的な保護としては、危険な可能性があるファイル形式に対して警告を表示します。マルウェアの検出を行うアンチウイルス機能は完全に後追いになっています。
検出できるマルウェアは特定のものに限り、ヒューリスティック(プログラムの動作の分析)や包括的な検出は行われません。
つまり新たなマルウェアを検出する可能性は、ほぼ皆無です。

XProtect は、「最先端のアンチウイルス製品」として一般に想定されるようなものとは異なります – 数えられる程度の既存の脅威を見つけるためだけに設計されています。
Apple の、あるいは他のセキュリティ企業の研究者が新しい Mac を狙う脅威を見つけてからそれが XProtect に追加されるまで大きなタイムラグがあります。
また、あまり拡散していないマルウェアは XProtect に登録されません。そのため運悪くそのようなマルウェアと接触してしまった場合 XProtect は役に立ちません。
例えば、今回のウォーターホール攻撃に対しても XProtect はアップデートされませんでした – Apple は、Java アップデートの一部として除去ツールを作成したのです
もっともこの脅威が感染するには Java が必要でしたからこの判断は間違っているわけではありません。

Gatekeeper は、ユーザがインストールできるアプリケーションを制限するものです。
これは、脅威がソーシャルエンジニアリング技術を利用してユーザのシステムに感染する場合は有効です – つまりユーザが危険に気付かずにアプリケーションをダブルクリックさせられてしまう問題には対処できます。
しかし、マルウェアの作者がマルウェアを正規のプログラムのように見せかけるための署名となる証明書を用意できればこの防壁もすり抜けてしまうでしょう。
あるいは、脅威が今回の Java 0-day のように脆弱性を利用して気付かれずにインストールされる場合もすり抜けられてしまうでしょう。

Gatekeeper も XProtect も特定のファイルがどこから入手されたものかを調べます – ファイルがインターネットでなくディスクのような物理メディアから入手された場合、あるいは監視対象でないアプリケーションから入手された場合警告は表示されません。
そして OS X が安全と考えるファイル形式であればやはり警告されません。そして、どちらの機能もマシンに入り込むファイルを対象としています。例えば、Dropbox や電子メールを使ってファイルを共有する場合のように、マルウェアが送り出されるのを防止することはありません。

Apple のファイアウォール




アプリケーション・ファイアウォールは、外から来る攻撃からマシンを保護します – 受信接続をフィルタリングしますが、発信接続はフィルタリングしません
これは第三者がリスン状態のポートを探すための一般的な攻撃ツールを使っている場合は有効ですが、マルウェアがすでにマシンに入り込んでいる場合は意味がありません。
マルウェアあるいはハッカーがマシンに入り込んでいたらデータを攻撃者に送出することができます。理想的には、攻撃者が仮に一つの防壁を突破しても次の防壁でブロックできるように不審な通信については受信接続あるいは発信接続に関わらず警告が発せられるべきでしょう。

Apple のファイアウォールを設定する際には、主に3つのオプションがあります:

  1. デフォルトのオプションでは、署名されたアプリケーションだけがコンピュータに接続できます。
  2. もう一つのオプションは、基本的でない受信接続をすべてブロックします。当然ながらマシンとの通信を必要とする多くの主要なプログラムの動作が制限されるでしょう。
  3. 最後のオプションは「ステルスモード」を有効にします。これは、Ping や Traceroute のような ICMP を使う分析ツールの要求を受け付けない、あるいは回答しないことを意味します。

各オプションを単独で、あるいは組み合わせて使うことができます。上記の3つのオプションに加え特定のアプリケーションを許可したりブロックすることも可能です。

Sandbox (サンドボックス化)




問題を起こす可能性があるプログラムを扱う場合、その被害を最小限に食い止めるように努力する必要があります。
エクスプロイトは、本来のアプリケーションの動作以外の処理を行うことで任意のコードを実行できるように想定外の領域に入り込もうとします。
アプリの開発者がその製品のサンドボックス版を作成するということは、エクスプロイトによる被害を制限するためにアプリを防壁内に入れて実行することを意味します。
Apple の App Store で販売されるアプリには、Apple によってサンドボックス化が要求されています。
ユーザのセキュリティの観点から言えば、開発者がこのような措置を施すことはよいことです。開発者にとっては App Store で製品を販売することがよい露出の機会にもなるでしょう。

既にご承知の通り iOS では、端末をジェイルブレークしていない限り
App Store 以外からアプリをインストールできません。
すべての iOS 用アプリに共通です。これは Android のような他のモバイル OS 用アプリの自由度と比べると、かなりの制限と言えます。
しかし、同時にこれこそがこれまでマルウェア作者が iOS に対してほとんど興味を示さなかった理由でもあります。彼らにしてみれば iOS は単純に労力に見合わないのです。

上記の通り、サンドボックス化はアプリの機能を非常に制限するためサンドボックス化することによって多くの製品でユーザ体験が犠牲にされています。
また、システムあるいはネットワーク経由でファイルへのアクセスを実現したり USB デバイスとやり取りするサードパーティ製プラグインを利用する必要があるアプリケーションはサンドボックス化できません。
これには、アンチウイルス・ソフトウェアのようなユーティリティを含む多くの有名な製品が該当します。そのためサンドボックスがエクスプロイトの可能性と能力を制限する一方、アプリケーション自体の機能も制限されるためすべてのメーカがアプリをサンドボックス化できるわけではないのです。OS X Sandboxed Apps でインターネットを検索すると、多くの場合「 sad (残念)」や「 Frustation( イライラ)」や「 Ruin (台無し)」や「 Killjoy (興ざめ)」などのタイトルの記事がヒットします。そして、これらの記事の多くはアプリの開発者が書いたものです。

アドレス空間配置のランダム化( Address Space Layout Randomization:ASLR )



さて、難しい技術用語を使わずに説明するなら ASLR とは、ソフトウェアの脆弱性を利用した任意のコードの実行を困難にするもの、ということになります。
現時点では、多くの主な OS が何年も前から何らかの形で ASLR を採用しています。Windows および Android も ASLR を搭載しています。しかしエクスプロイト、あるいはジェイルブレークやジェイルブレークを利用するマルウェアがなくなっていないことを考えると、
語弊を恐れずに言えば、エクスプロイトに繋がる脆弱性に対応するには ASLR では不十分なのです。攻撃者にとってみれば、ASLR をバイパスするという新しいハードルが加わったに過ぎません。


新たなセキュリティ対策の時代が始まりましたが、まだ完全ではありません



いずれにしろ、こうしたセキュリティ機能はお使いのシステムの防御レベルを挙げる素晴しいツールです。
注意しなければ行けないのは、いくつかの非常に一般的な攻撃から保護してくれますがすべての攻撃から保護してくれるわけではないということです。どの機能も、マルウェアに感染の機会を残しています。
そして、すべての OS X ユーザが同じ保護を利用している点にも注意が必要です。つまり、すべての Mac ユーザがどの程度まで保護されているかを攻撃者も知っています。そんな攻撃者に対抗するには、そんな最小限度の保護レベルを超える防御を用意することが重要です。
それこそが Pintsized に感染した Mac の開発者に起きたことです。隣のユーザより少し保護を強力にするには、より進んだ攻撃にも対応できる追加ツールを導入することです。

Posted on March 26th, 2013 by


出典:Intego Security Blog
Twitter:@IntegoSecurity



Mountain Lion 対応!!
15年に渡りMac専用として進化し続けて来たのはIntego 社の Mac 用セキュリティソフト だけです。
Intego 製品についてもっとよく調べる


Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support




0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。