macOS 11.0 Big Surの署名済みシステム・ボリュームはセキュリティ保護を強化

by
04392 PV約5分
macOS 11.0 Big Surの署名済みシステム・ボリュームはセキュリティ保護を強化

これまでに何が起きたのか

macOSの最後の2つのメジャーリリースは、システムファイルの保護に急速な進化をもたらしました

macOS 10.14 Mojaveでは

macOSは単一のAPFSボリュームから起動します

このボリュームでは、機密性の高いシステムフォルダやファイルが、ユーザが書き込み可能なものと混在しています。システムに提供されている主な保護機能は、macOS内のソフトウェアであるSystem Integrity Protection (SIP) を追加した古典的なUnix権限からのものです

Mojaveでは、マルウェアはSIPの脆弱性を悪用して権限を昇格させるだけで、システムファイルを使って好きなことを実行できます

macOS 10.15 Catalinaでは

ブートボリュームをシステムボリュームとデータボリュームの2つに分割し、APFSボリュームグループを構成することで、これを変更しています

不変のシステムファイルは、SIPによる完全な保護があるだけでなく、通常は読み取り専用でマウントされているSystemボリュームに存在するようになりました

これにより、マルウェアは、SIPを通過するだけでなく、システムファイルを改ざんする前にシステムボリュームを書き込み可能なものとしてマウントしなければならないため、マルウェアにとってははるかに厳しいものになります

macOS 11.0 Big Sur

macOS Big Surは、Catalinaと同じ保護されたシステムボリュームとAPFSボリュームグループを使用していますが、悪意のあるソフトウェアを開発している人にとっては、さらに大きな課題となるように、ボリュームの保護方法を変更しています

Signed System Volume (SSV)

macOS Big Surのシステム・ボリューム上のすべてのファイルは、現在、ファイル・システム・メタデータに保存されているSHA-256暗号ハッシュを持っています

データがSSVから読み込まれると、その現在のハッシュが保存されたハッシュと比較され、ファイルが改ざんされたり破損したりしていないことが確認されます

ファイルシステムのメタデータ自体では、最も深いディレクトリからルートノードまで、さらにハッシュが使用されます、これにより、ハッシュがボリューム全体、そのデータ、ディレクトリ構造をカバーしていることが保証されます

シールは、Macが起動するたびに、カーネルがロードされる前のブートローダ、macOSシステムファイルのインストールと更新の間に検証され、検証に失敗すると起動が停止し、先に進む前にmacOSを再インストールするように促されます

更新が完了できない場合は、そのスナップショットを使用して以前のシステムが復元されます

大多数のユーザーにとって、これらはすべて透明なものであるはずです、macOSのアップデートをインストールすれば、Macは以前と同じように起動します、システムボリュームにあるものには何も手を加えていないので、macOS Big Surに完全な信頼を置くことができます

SSVに遭遇する可能性があるのは、クローンやmacOSインストーラで起動可能なmacOSボリュームを使用しているときだけです、何をするにしてもハッシュとシールを保存する必要がありますが、そうしないとボリュームは起動できず、複製するソフトウェアは全てこれに対応しているはずです


カーネル拡張 (新しいシステム拡張や DriverKit 拡張などではありません) をインストールする必要がある場合、システムの起動に使われるプレリンクされたカーネルには組み込まれておらず、代わりに /Library/KernelCollections/AuxiliaryKernelExtensions.kc に組み込まれています、これは書き込み可能なDataボリューム上にあるので、SSV の保護には何の影響もありません

SSV上の何かを変更することは、より複雑になるのは間違いありません。Appleはcsrutilコマンドの機能を拡張し、SSVへの変更をサポートしました。概要を説明すると、リカバリモードで起動する必要があります

次のコマンド
csrutil authenticated-root disable
を使用し、暗号化検証をオフにしてから、System ボリュームをマウントし、その変更を実行します、再起動可能にするには、次のようなコマンドを使用して、ボリュームの新しいスナップショットを取得する必要があります
sudo bess--folder/ [mountpath] /System/Library/CoreServices--bootefi--create-snapshot
その後、SSV認証なしで、新しいスナップショットをシステムボリュームとして使用して再起動できます

macOS Catalinaでは、Systemボリュームに変更を加えることは、非常に正当な理由がなければ着手することではありません、macOS Big Surでは、最後の手段となります

(Via The Eclectic Light Company .)


LEAVE A REPLY

*
*
* (公開されません)