AppleがMacアプリ開発者に対しアプリへの署名と公証を求め、次期macOSのGatekeeperの下アプリを利用するには野良アプリでもこれらが必要になるそうです。詳細は以下から。
Appleは2018年06月に開催したWWDC 2018で、ネット上や開発者個人などMac App Store外で公開/配布されているアプリ(いわゆる「野良アプリ」)に対し、これらのアプリを自動化されたApple公証サービス「Apple Notary Service」で検証し、アプリ内にマルウェアなどが含まれていない場合はAppleからのチケットを発行し、ユーザーがアプリを利用する際に悪意のあるアプリをブロックする「Gatekeeper」と連携させると発表しました。
これにより、macOS 10.14 Mojaveでは野良アプリを起動する際に表示されるGatekeeperの警告ウィンドウが細分化され、署名済みのアプリは黄色い警告アイコン(
)有り、Appleの公証済みチケットを持った署名済みのアプリには警告アイコンなしで「悪質なソフトウェアが検出されませんでした」という記載が表示されるようになっていますが、
インターネットから、または開発元から直接 App をダウンロードし、インストールした場合も、macOS が Mac を守ってくれます。Mac 用の App、プラグイン、インストーラパッケージを App Store 以外からインストールした場合、macOS はデベロッパ ID の署名とノータリゼーション (公証) の状態を調べて、ソフトウェアが ID を取得済みの開発元のものであることや、改ざんされていないことを確かめます。macOS Mojave では、開発元は、提供する App について Apple からノータリゼーション (公証) を受けられるようにもなりました。その App が Apple にアップロード済みで、セキュリティチェックを通過した上で配布されていることを証明する仕組みです。
Mac で App を安全に開く – Apple サポート
Appleは現地時間2018年10月19日、Apple Developer Newsを更新し、開発者に対しXcode 10およびmacOS 10.14 Mojaveで利用可能になったこの公証サービスを利用するよう推奨しています。
October 19, 2018
macOS Mojave is here. Give Mac users even more confidence in your software distributed outside the Mac App Store by submitting it to Apple to be notarized. When users on macOS Mojave first open a notarized app, installer package, or disk image, they’ll see a more streamlined Gatekeeper dialog and have confidence that it is not known malware.Download Xcode 10 and submit your software today. In an upcoming release of macOS, Gatekeeper will require Developer ID–signed software to be notarized by Apple.
Get Your Mac Software Notarized – Apple Developer
将来的にはAppleの公証が必要に
現在のところ、この公証サービスには何の拘束力もなく、公証されていないアプリもGatekeeperにブロックされることなく開くことが可能ですが、公開されたDeveloper Newsにもある通り、Appleは「今後リリースするmacOSでは、GatekeeperがAppleの公証サービスを通過し、かつ署名済みのソフトウェア(アプリ)を要求する」と警告しています。
これは、WWDC 2018のセッション702″Your Apps and the Future of macOS Security”で、CoreOSセキュリティチームのGarrett Jacobsonさんが述べていた「Notarized apps by default」にあたるようで、Garrettさんは同セッションの中で、「現在署名の無いアプリは警告だけだが、今後署名の無いアプリはエラーとなる」とコメントしてるため、将来的にはDeveloper IDの署名&Appleの公証のない野良アプリは利用できなくなると思われます。
クリックで拡大
Remember that signing issues, for now, will be warnings but are going to become errors in the future.And when macOS Mojave ships later this year, Gatekeeper will be highlighting notarized applications to users. But then in a future macOS release, Gatekeeper will be requiring notarized apps by default. And that’s all for Gatekeeper.
Your Apps and the Future of macOS Security – Apple
Apple指している「今後リリースするmacOS」がmacOS 10.15か10.16になるのかは定かではありませんが、AppleはiMac Pro (2017)以降、Macに自社製のSoC「Apple T2」を採用し、このApple T2はmacOS/Windows起動時にOSを検証する「セキュアブート」機能を採用しているため、Apple TシリーズでOSの検証、macOSのGatekeeperでアプリの検証を行う方向で動いているようです。
- Xcode Help – Apple
- Mac で App を安全に開く – Apple サポート
- Get Your Mac Software Notarized – Apple Developer
- Your Apps and the Future of macOS Security – Apple
