2016.11.18
未署名ソフトが実行不可
macOSの「ゲートキーパー(GateKeeper)」は、不正なソフトウェアの実行を未然に防ぐ標準のセキュリティ機能です。これがオンになっていると、アップルが配布前に審査を行うMacアップストアのソフトは問題なく実行できますが、ソフト開発元のWEBサイトなどからダウンロードしたソフトの場合、基本的には開発元を示す「証明書」がなければ実行することができません。
こうした証明書がないソフトでも、macOSシエラよりも前のバージョンでは、システム環境設定で「すべてのアプリ」に実行許可を出している場合に限り、実行することができました。これはソフトウェア開発の自由度をある程度許容するものでしたが、こうしたグレーゾーンを悪用するアドウェアなど「PUP(インストールが望ましくない不審なプログラム)」の台頭などにより、アップルはついにmacOSシエラで証明書のないソフトを原則実行てきないようにする仕組みに変更したのです。
そのため、実行できるのはMacアップストアから正規にダウンロードしたソフトか、アップルから取得したデベロッパIDで「署名」を付加したダウンロードソフトの2種類になっていますが。本当に「未署名」のソフトは起動できないのでしょうか? 検証していきましょう。
【検証1】未署名ソフトも動かせる?
アップルが自社のMacアップストアからのソフトダウンロードを推奨していることは、証明書を取得していないソフトウェアをインストールするためのシステム環境設定の項目がmacOSシエラからなくなったことからも明らかです。
しかしその一方で、アップルが許可したアプリケーションしか利用できないiOSデバイスの場合と比べれば、証明書さえあればMacアップストア以外からのソフトのインストールを認めているMacのセキュリティポリシーはまだ「ゆるい」制約だともいえるでしょう。
実際のところ、システム環境設定の項目自体は削除されたにも関わらず、ちょっとした工夫をすれば証明書を取得していない「未署名」のソフトを実行することは可能です。
署名はソフトが第三者に改ざんされていないことを示す重要なものです。そのため、本誌としては必ずしも未署名のソフトのインストールを推奨するわけではありませんが、システムの一部を書き換えて便利な機能を実現するユーティリティなど、どうしてもほかのソフトで置き換えることのできない一部のソフトをインストールしたいこともあるでしょう。そこで、その手順を紹介します(現状ではアップルのサポートサイトにも案内が残っています)。
おそらく今後のセキュリティ事情によっては、こうしたイレギュラーな手法についても制限が加えられ、iOSと同等のセキュリティレベルに引き上げられることも想定されます。もし、開発元が証明書の更新やサポートなどを放棄する姿勢が見られた場合は、Macアップストアで代替できるソフトがないかなど、ユーザとして対処していく必要性も生じるでしょう。
macOSシエラでは、システム環境設定の[セキュリティとプライバシー]パネルの[ダウンロードしたアプリケーションの実行許可]で[すべてのアプリケーションを許可]の項目がなくなっています。