macOS Big Surで物議を醸している挙動は「2年以上前から周知だった」との指摘、今さら問題視することに疑問を投げかける意見も

Appleが2020年11月13日にリリースしたmacOS Big Surは、Online Certificate Status Protocol(OCSP)による平文での通信が行われていることなどから、プライバシー上の懸念がにわかに物議を醸しています。しかし、長年にわたり多数のmacOS用ユーティリティを開発してきた技術者のハワード・オークリー氏は、「2年以上前からよく知られていた動作が今になって騒がれているのには戸惑いを覚える」と指摘しています。

macOS has checked app signatures online for over 2 years – The Eclectic Light Company
https://eclecticlight.co/2020/11/25/macos-has-checked-app-signatures-online-for-over-2-years/

AppleがmacOS Big Surをリリースした直後、Macとサーバーとの通信に関する不具合により「Big Sur以外のOSまで低速化する」という事態が発生。この一件により、OCSPによる不審な通信が行われている可能性が取り沙汰されたことから、「Big Surはユーザーが使用しているアプリケーションの起動ログをAppleに送信しているのではないか」との疑惑が急浮上しました。

20年ぶりに大型アップデートを果たした「macOS Big Sur」はアプリケーションの起動ログを本当に外部に送信しているのか？ - GIGAZINE

その後の調査で「Big Surが起動ログを漏えいさせている」との疑惑は否定されましたが、OCSPによる平文でのデータ通信が行われていることなどから、Big Surのプライバシー問題は依然として議論の的となっています。

そんな中オークリー氏は、今回問題視されているOCSPでの挙動は「以前から特定されていたものだ」と指摘。Big Surがことさら槍玉に挙げられていることを疑問視する姿勢を示しました。オークリー氏が、「OCSPでの不審な通信」とされている動作を最初に目にしたのは、2018年にリリースされたmacOS Mojave(macOS 10.14)の起動ログをチェックした時のことです。

オークリー氏が2018年に公開したmacOS10.14.2の起動ログが以下。

30.343884 SecTrustEvaluateIfNecessary
30.345255 com.apple.securityd asynchronously fetching CRL (http://crl.apple.com/root.crl) for client (lsd[355]/0#-1 LF=0)
30.345305 com.apple.securityd cert[2]: AnchorTrusted =(leaf)[force]> 0
30.346576 com.apple.securityd MacOS error: -67030
30.346629 com.apple.securityd MacOS error: -67030
30.361455 SecTrustEvaluateIfNecessary
30.362900 com.apple.securityd asynchronously fetching CRL (http://crl.apple.com/root.crl) for client (amfid[124]/0#-1 LF=0)
30.362964 com.apple.securityd cert[2]: AnchorTrusted =(leaf)[force]> 0
30.364183 com.apple.securityd MacOS error: -67030
30.378125 com.apple.securityd MacOS error: -67030
30.378189 com.apple.securityd MacOS error: -67030
30.378271 com.apple.securityd MacOS error: -67030
30.378316 com.apple.securityd MacOS error: -67030
30.378356 com.apple.MobileFileIntegrity Basic requirement validation failed, error: (null)
30.378463 /Applications/SignetTest.app/Contents/MacOS/Signet signature not valid: -67030
30.378478 AMFI: code signature validation failed.
30.380499 SecTrustEvaluateIfNecessary
30.381862 com.apple.securityd asynchronously fetching CRL (http://crl.apple.com/root.crl) for client (amfid[124]/0#-1 LF=0)
30.381904 com.apple.securityd cert[2]: AnchorTrusted =(leaf)[force]> 0
30.383124 com.apple.securityd MacOS error: -67030
30.383692 com.apple.MobileFileIntegrity <private>: Broken signature with Team ID fatal.
30.383781 mac_vnode_check_signature: /Applications/SignetTest.app/Contents/MacOS/Signet: code signature validation failed fatally: When validating /Applications/SignetTest.app/Contents/MacOS/Signet:
The code contains a Team ID, but validating its signature failed.
Please check your system log.
30.383800 proc 17245: load code signature error 4 for file "Signet"
30.403372 com.apple.launchservices RETURNING: { "ApplicationType"="Foreground", "CFBundleExecutablePath"="/Applications/SignetTest.app/Contents/MacOS/Signet", "CFBundleIdentifier"="co.eclecticlight.Signet", "DeathTime"=now-ish 2018/12/21 09:18:30, "LSBundlePath"="/Applications/SignetTest.app", "LSDisplayName"="SignetTest", "LSExitStatus"=9, "pid"=17245 }
30.648151 Saved crash report for Signet[17245] version ??? to Signet_2018-12-21-091830_Howards-iMac-Pro.crash

オークリー氏はこのログについて、「com.apple.securitydというデーモンがOCSPと平文のHTTP接続を通じて証明書失効リスト(CRL)に繰り返し接続を試みていることが示されていますが、当時こうした動作について懸念を表明している人は誰もいませんでした」と述べています。

オークリー氏によると、以前のmacOSは失効した証明書の情報をmacOSのセキュリティ機能「Gatekeeper」用のローカルデータベースに保存していたとのこと。しかし、macOS Catalinaからは、データベースにアクセスする方式ではなく、OCSPを介したオンラインでのチェックに切り替えています。このOCSPでのオンラインチェックが、プライバシー問題として物議を醸しているわけですが、前述のとおり2018年には同様の動作が発見されており、しかも誰もこれを問題だとはみなしていませんでした。

オークリー氏はOCSPを用いたチェックの必要性について、「Appleがトロイの木馬アプリを誤って承認してしまうといった問題が既に発生しており、macOSがOCSPサーバーで署名証明書の有効性を迅速的かつ適切にチェックする手段がなければ、良性のコードと悪意のあるコードを区別する手段としての署名がほとんど無意味になってしまいます」と訴えています。

その上でオークリー氏は、2020年11月になって今になってBig SurにおけるOCSPの動作が非難されていることに対して、「Appleが最新のmacOSで行っているオンラインでのチェックが、プライバシーを侵害する不必要なものだと考えている人は、証明書チェックが行われるようになった経緯や、それがmacOSのセキュリティにとって重要であることをよく理解しておくべきです。また、長年このオンラインチェックの恩恵を享受してきたにもかかわらず、急にそれを悪いものだと判断した理由や、代わりにどんな手だてがあるかについての説明も求められるでしょう」と述べました。