Macの起動時にセキュリティを強化するために使えるユーティリティがいくつかあります。Macとデータを安全に保つために、これらのユーティリティの使い方をご紹介します。
コンピュータセキュリティは今日のデジタル世界において重要なテーマであり、ほとんどの電子機器は多かれ少なかれ危険にさらされています。
Apple は自社のプラットフォームを安全にするために多大な努力を払ってきましたが、攻撃者が侵入してデータを盗み、Apple のシステムを危険にさらす方法はまだ残っています。
完璧なセキュリティというものは存在しないということを常に念頭に置いてください。
できる最善のことは、デバイスまたはシステムの攻撃対象領域を最小限に抑えて、脅威の攻撃者がシステムにアクセスするのを可能な限り困難にすることです。
Appleは最初からmacOSを非常に安全に設計してきました。macOSは世界で最も安全なオペレーティングシステムの一つです。
iOSおよびtvOSデバイスは、Appleが厳選したApp Storeからのみソフトウェアをダウンロードできるため、さらに安全です。ただし、違法な脱獄ソフトウェア によってデバイスのセキュリティが回避されない限りは。
スタートアップベクトル
コンピューティング デバイスに対する攻撃に対して最も脆弱なポイントの 1 つは、デバイスが最初に起動したときです。
スマートフォンやタブレットを含むほとんどのコンピューターは、電源投入時にブートストラップと呼ばれるプロセスを実行します。このプロセスでは、オペレーティングシステムはまだ読み込まれておらず、デバイス上で実行されるソフトウェアはごくわずかです。
この時点で、攻撃者はOSを回避するために様々な攻撃を実行できるようになります。また、ウイルス、トロイの木馬プログラム、ファームウェアなどの悪意のあるソフトウェアをインストールして、カスタムコードを実行させたり、デバイスに損傷を与えたりする可能性もあります。
新しい iOS デバイスでは、Apple は Secure Enclave または T2 セキュリティ チップを使用してこの問題を解決しています。
Secure Enclave は、デバイス内のハードウェアの保護された領域であり、ハードウェアと暗号化の両方を使用してデバイスを保護します。
歴史的な理由から、Mac は iOS デバイスほど安全ではありません。そのため、脅威の攻撃者は、セキュリティを侵害する可能性のあるソフトウェアを以前のバージョンの Mac にインストールできます。
Intel CPU を搭載した後期の Mac には、これらの問題を回避するための T2 セキュリティ チップが搭載されています。M2 ベースの Apple Silicon Mac 以降には、Secure Enclave が組み込まれています。
T2 チップを搭載した Mac のストレージデバイスは、ハードウェアに関連付けられたキーで暗号化され、さらに高いレベルのセキュリティが提供されます。
つまり、T2ベースのMacで失われたファイルや破損したファイルを復元するのは困難です。暗号化されたストレージボリュームを復元しようとするユーティリティは、Macのハードウェアに紐付けられたセキュアキーの使用方法を理解している必要があります。
明らかな理由により、Apple はこれに関するドキュメントを公開していません。
Apple Silicon Macでは、すべてのmacOS起動ディスクボリュームが暗号化されています。Appleはこれを「署名済みシステムボリューム」と呼んでいます。
Apple Silicon Mac は、Apple からの有効な暗号署名がない署名済みシステムボリューム上のシステムファイルを実行しません。
これにより、macOS システム ファイルを改ざんして Apple Silicon Mac で実行することが難しくなります。
起動ディスク
しかし、Mac に対する最大の攻撃ベクトルの 1 つは、起動ディスクそのものです。
Macを起動すると、まずBoot ROMと呼ばれるファームウェアが読み込まれ、内部システムがすべて起動します。次に、ディスプレイやネットワークなどを初期化するためのファームウェアが実行されます。
このコードのほとんどは、Mac 自体のハードウェアに含まれています。
その後、Mac Boot ROM はさらに 2 つのファームウェア、LLB と iBoot に渡します。
iBoot は実際には 2 つの部分で構成されており、2 番目の部分ですべてが正常であることが確認されると、macOS カーネルをロードするための内部または接続されたストレージ デバイスを探します。
ここでセキュリティ上の問題が発生する可能性があります。
おそらく、起動時の最大のセキュリティ リスクは、追加のストレージ デバイスを USB、Thunderbolt、またはネットワーク ポート経由で Mac に自由に接続できることです。
署名されたシステムボリュームは、有効なバージョンのmacOSのみを起動できるようにします。しかし、この時点では、脅威アクターが悪意のあるコードを挿入する可能性は依然として残っています。
ただし、Mac の起動シーケンスが保護されていない限り、脅威の攻撃者は外部デバイスを Mac に接続し、Mac を再起動して、そのデバイスから強制的に起動することができることを常に念頭に置いてください。
起動ディスクと Mac 全体をパスワードで保護する方法はいくつかありますが、これについては後ほど説明します。
外部デバイスで起動すると、攻撃者はファイルをコピーして盗み、Mac に悪意のあるコードを埋め込み、さらにはリモート ターミナルとして使用してインターネット経由でサイバー戦争を実行することさえできます。
Apple を含む多くの企業は、ファイルを外部デバイスにコピーしただけで産業スパイに企業秘密を盗まれています。
Appleの自動車プロジェクトの秘密さえもこのように盗まれた。
Macのセキュリティ保護
Macを保護する方法はいくつかあります。Appleの内蔵ソフトウェアを使えば、以下のことが可能です。
- スタートアップセキュリティユーティリティを使用する
- セキュアブートと外部ブートを使用する
- 外部デバイスからの起動を禁止する
- 起動時にMacをパスワードで保護する
- ユーザーとログインパスワードを制限する
- 1 つ以上のストレージデバイスをパスワードで保護します
- セーフモードで起動する
- ロックダウンモードを使用する
- MDMを使用してMacをリモートロックする
起動セキュリティユーティリティは、T2 セキュリティチップを搭載した Mac 以降のモデルから Apple が macOS に追加したアプリです。
T2 チップの有無にかかわらず、Mac では、Mac がサポートしていればファームウェア パスワードを設定できます。
ファームウェア パスワードはブート プロセスを停止し、オペレーティング システムをロードする前にユーザーにパスワードの入力を求めます。
スタートアップセキュリティユーティリティを使用すると、ファームウェアパスワードの設定、セキュアブートの有効化、外部ブートの有効化/無効化が可能です。最後の2つのオプションにはT2チップが必要です。
Intel Macで起動セキュリティユーティリティを実行するには、Macの電源を入れ、キーボードの Command () + Rキーを押し続けます。これでmacOS復元が起動します。
macOS リカバリは、Mac のファームウェア内に常駐し、インストーラ、ディスクユーティリティ、ターミナル、起動セキュリティユーティリティなどの macOS の一部にアクセスできるようにする特別なアプリです。
キーボードで Command () + R キーを押すと、Mac のブートローダーは起動ディスク上の macOS のコピーではなく、macOS Recovery への起動を切り替えます。
macOS リカバリに入ると、利用可能なプログラムのいずれかを実行するか、終了するか再起動する以外は何もできません。
macOS リカバリで、ユーザー管理者のパスワードを入力し、メニューバーから 「ユーティリティ」->「起動セキュリティユーティリティ」を選択します。
スタートアップ セキュリティ ユーティリティでは、ファームウェア パスワードの設定、起動時に使用するセキュリティ レベルの設定 (セキュア ブート)、外部メディアからの起動を許可するかどうかの設定 (外部ブート) を行うことができます。
起動セキュリティユーティリティの「完全なセキュリティ」オプションを選択すると、Mac のファームウェアが Apple のサーバーに接続して、インストールされている macOS のバージョンをリモートで検証します。
したがって、そのオプションを設定する場合は、ネットワーク接続が必要になります。
また、セキュア ブートを完全にオフにして、インストールされているどのバージョンの macOS でも起動できるようにすることもできます。
スタートアップ セキュリティ ユーティリティ。
Apple Silicon Mac
Apple Silicon Mac では、プロセスはわずかに異なります。
Apple Silicon Mac で起動するときは、「起動オプションを読み込んでいます」と表示されるまで Mac の電源ボタンを押し続けます。
「オプション」をクリックし、「続行」をクリックします。次に、起動ディスクを選択し、「次へ」をクリックします。
管理者パスワードを入力し、「続行」をクリックします。
リカバリアプリで、「ユーティリティ」→「スタートアップセキュリティユーティリティ」を選択します。次に、セキュリティポリシーの設定に使用するシステムを選択します。
選択したストレージ ボリュームで FileVault がオンになっている場合は、まずパスワードを入力してロックを解除する必要があります。
スタートアップ セキュリティ ユーティリティのセキュリティ ポリシー セクションに入ると、選択肢は「完全なセキュリティ」または「セキュリティの軽減」の 2 つだけになります。
フルセキュリティでは、現在のバージョンのmacOSのみ実行できます。この場合もネットワーク接続が必要です。
セキュリティを低下させると、Mac がサポートしていれば、信頼できる署名済みの macOS バージョンを実行できるようになります。
「セキュリティの低減」では、従来のカーネル拡張機能の実行を許可および管理するためのオプションも設定できます。
必要なオプションをすべて設定したら、「OK」をクリックし、Macを再起動してください。変更は再起動するまで有効になりません。
ユーザーログインパスワード
ユーザーのログインパスワードもセキュリティ上のリスクとなります。
デフォルトでは、macOS インストーラーとセットアップ アプリでは、Mac を初めてセットアップするときに、ユーザーがユーザー名とパスワードを入力する必要があります。
ただし、問題のユーザーが管理者ユーザーであると仮定すると、ユーザー ログイン時にパスワードを要求しないことで、システム設定でユーザー ログインを完全にオフにすることができます。
これを実行すると、Mac は電源投入後に何の介入もなく Finder を起動するため、完全に安全ではありません。
したがって、すべてのユーザーに対して常にユーザー パスワードを設定する必要があります。
システム設定->ユーザーとグループで、「自動的にログインする」をオンにして、マシンにリストされている任意のユーザーとしてログインするように設定することもできます。
「ユーザーとグループ」ペインの「自動的にログイン」ペイン。
「ユーザーとグループ」では、ログインにパスワードを必要としない ゲスト ユーザーも有効にできます。
Active Directory (AD) を使用してユーザーを管理する環境の場合は、AD サーバー (または Microsoft の Entry ID クラウド サービス) に保存されている AD 資格情報を追加することで、ユーザーのログインを許可できます。
このペイン(ネットワーク アカウント サーバー ペイン内)から、macOS の非表示のディレクトリ ユーティリティ アプリを開くこともできます。
ボリュームをパスワードで保護する
macOS では、ユーザーがパスワードを入力しないとマウントできないように、個々のストレージ ボリュームをパスワードで保護することもできます。
これにより、ユーザーがパスワードを知らない場合、ボリューム上のファイルにアクセスすることがはるかに困難になります。
ただし、これを行うには、まず Apple のディスクユーティリティ アプリを使用してストレージ ボリュームを消去して暗号化する必要があることに注意してください。
これを行うには、まず後で復元できるようにボリュームのファイルをバックアップし、次に /Applications/Utilities フォルダにある Apple のディスクユーティリティ アプリを実行します。
ディスク ユーティリティで暗号化するボリュームを選択し、ツールバーの [消去]をクリックしてボリューム名を入力し、 [GUID パーティション マップ]を選択して、ポップアップ メニューから暗号化されたファイル システム形式を選択します。
暗号化されたボリュームのパスワードを入力して確認し、「選択」をクリックします。「消去」をクリックし、「完了」をクリックします。
ディスク ユーティリティはボリュームを消去し、暗号化して、入力したパスワードで保護します。
次回 Mac を再起動したり、ボリュームを含むデバイスを Mac に接続したりすると、Finder のデスクトップにマウントするためにパスワードの入力を求められます。
また、サイドバーの任意の Finder ウィンドウでボリュームを消去せずに暗号化することもできます。これを行うには、 Control キーを押しながらクリックし、ポップアップ メニューから [暗号化]を選択します。
セーフモードで起動する
macOS では、カスタム コードを使用して macOS カーネルの機能を拡張できるソフトウェア コンポーネントである レガシーカーネル拡張(KEXT) が許可されます。
macOS 11 以降では、Apple は KEXT を廃止し、システム拡張機能を導入しました。システム拡張機能はより安全で、コードが適切に実行されなくても macOS がクラッシュする可能性が低いと考えられています。
起動時に、macOS はすべての KEXT を補助カーネルコレクション(AuxKC) にマージし、上記のファームウェアの一部を実行します。
ファームウェアのブート プロセスの大部分が完了した後にのみ、AuxKC がカーネルにロードされ、KEXT の実行が許可されます。
macOS のセーフモードを使用すると、macOS を起動しながら、KEXT が読み込まれないように AuxKC を除外することができます。
Macをセーフモードで起動するには、上記のようにリカバリモードで起動します。使用するストレージボリュームを選択する際にShiftキーを押しながら、上記の手順を続行してください。
Mac を再起動すると、指定されたボリュームから macOS がロードされますが、iBoot に AuxKC をロードしないように指示します。
ロックダウンモード
Appleによれば、ロックダウンモードは「極めて稀で高度なサイバー攻撃からデバイスを保護するのに役立ちます」とのこと。
ロックダウン モードは基本的に、攻撃対象領域(攻撃者が侵入できる方法) を減らすために macOS で利用できる機能を制限します。
ロックダウンモードは、macOS Ventura 以降で利用できます。
ロックダウンモードがオンの場合、macOS では通常の動作時に実行されるすべての機能が利用できなくなります。ロックダウンモードでは、メッセージや FaceTime の添付ファイル、一部の Web テクノロジー、デバイス接続、構成プロファイルなど、特定のネットワークアクティビティが制限されます。
ロックダウン モードの制限の完全なリストについては、Apple の技術情報を参照してください。
macOS の「システム設定」->「プライバシーとセキュリティ」->「ロックダウンモード」でロックダウンモードをオンにできます。
マルチドメイン
Apple のモバイル デバイス管理 (MDM) テクノロジーにより、Macintosh システム管理者は MDM サーバーを使用して Mac をリモートでロックできます。
MDM を使用して Mac をリモートでロックするには、Mac が MDM サーバー上の MDM に登録され、管理者が Mac をロックする MDM 条件を設定している必要があります。
MDM に登録すると、リモート ロックはサーバーとサーバーの管理者によって制御されます。
MDM は、組織のネットワークにとって脅威となる可能性のある Apple デバイスを管理者がリモートで無効にするために使用されます。
セキュリティは複雑なトピックであり、Mac のセキュリティを強化する方法は数多くあります。
この記事では、FileVault のセキュリティや Mac のシステム整合性保護については取り上げていませんが、これらについては今後の記事で取り上げる予定です。
