XProtect が macOS 上のウイルスからどのように保護されるか

By Isamu

XProtect は Apple の製品ですマックMac を安全に保つウイルス検出システム。 macOS の保護機能がどのように機能するかは次のとおりです。

ウイルスやその他のマルウェアはコンピューターにとって常に脅威であり、Web サーファーはオンラインにアクセスするたびにこれに対処する必要があります。

コンピューター ウイルスは、コンピューターにサイレントにインストールされる小さなコードです。それが実行されたり、他のソフトウェアに埋め込まれたりして大混乱を引き起こすもの。

悪意のあるソフトウェアは、コンピュータ、システム、またはその他の電子デバイスに損害を与えることを目的とした悪意のある者によって作成されます。ウイルスが蔓延すると、数百万台のコンピュータに急速に蔓延する可能性があり、手遅れになるまで検出されないこともよくあります。

ウイルスやその他のマルウェアへの対応として、多くのソフトウェア ベンダーやオペレーティング システム ベンダーがウイルス対策ソフトウェアまたはマルウェア対策ソフトウェアを開発しています。これらは、コンピュータをスキャンして悪意のあるコードを「駆除」できます。

ウイルス対策ソフトウェアがこれを行う方法の 1 つは、既知のアプリの署名、サイズ、コードをスキャンすることです。次に、ダウンロードされた既知のマルウェアのデータベースと比較されます。

一致するものが見つかった場合は、不正なソフトウェアをコンピュータから削除できます。

Mac で数十年前に開発された 2 つの初期のウイルス対策ソフトウェア パッケージは次のとおりです。ノートン アンチウイルスそしてバイレックスマカフィーは、Mac 上で何年も前から存在し、現在でも利用できるもう 1 つのウイルス対策アプリです。

Xプロテクト

2009 年の Mac OS X 10.6 Snow Leopard 以降、Apple は、Xプロテクト

XProtect の実行バックグラウンドで、アプリが最初に起動されたとき、ファイルシステムでアプリが変更されたとき、または新しいダウンロード可能な XProtect シグネチャ データベースが利用可能になったときに分析します。

これらは、セキュリティ対応にリストされているのをよく見かけます。システム設定 -> 一般 -> ソフトウェアアップデート

一部のユーザーは、アクティビティ モニター ユーティリティで見られるように、バックグラウンド XProtect サービス (XProtectService) の CPU 使用率が高いと報告していますが、個人的にはまだそのような状況は確認されていません。

XProtect はバックグラウンドでサイレントに実行されるため、実行中のファイルシステムとアプリを監視し、XProtect シグネチャ データベースにリストされているマルウェアがないか Mac をチェックします。一致するものが見つかった場合、XProtect はコンピューターからマルウェアを削除するように求めるメッセージを表示します。

XProtect はサイレント バックグラウンド モニターを使用してマルウェアを監視することで、Mac を安全に保ち、潜在的に有害なアプリから解放します。

XProtect はの一部であるため、macOS署名ファイルは Apple によってホストされ、インストールされるため、何も心配する必要はありません。Mac がすべてを処理してくれます。

X(プロテクト)ファイル

を押し続けると、どの XProtect シグネチャ ファイルが Mac にダウンロードされているかを確認できます。オプションキーと選択システム情報からのアップルメニューメニューバーにあります。

これにより、/Utilities でシステム情報アプリが実行されます。までスクロールしますソフトウェア -> インストール左側に見えますXProtectペイロードそしてXProtectPlistConfigDataこれには、各 XProtect シグネチャ データベースが Apple からダウンロードされたバージョンと日付/時間が表示されます。

システム情報を実行して、最近の XProtect ダウンロードを確認します。

公証とゲートキーパー

サードパーティの開発者が Mac アプリを構築する場合、それを Apple に送信して、公証。この方法で Apple に送信されたアプリはマルウェア スキャンされ、Apple はアプリの既知のバージョンの署名を作成して XProtect 署名ファイルに含めます。

Apple は、開発者に公証用の 2 つのコマンドライン ツールを提供しています。altool(廃止されました)、および新しいものnotarytool後に発送されたものXcode13.altool同梱されなくなりましたmacOS 15セコイアとアップルは技術ノート (TN3147)古いツールから新しいツールへの移行について。

使用方法についてのヘルプが得られますnotarytoolmacOS のターミナル アプリで次のように入力します。

man notarytoolそして押します戻る

プレスControl-Zキーボードで「」をクリックしてマニュアルページを終了します。

Appleには次のページもあります公証ワークフローのカスタマイズ開発者向けドキュメントに記載されています。

公証は Apple の Gatekeeper および Developer ID と連携して、Mac アプリが Mac の外部に確実に配布されるようにします。アプリストア本物であり、ウイルスを含むマルウェアは含まれていません。

Apple がサードパーティ アプリを公証すると、開発者はそのアプリを Mac App Store 外でリリースできるようになります。

XProtect と併せて、Notarization と Gatekeeper を使用すると、Mac App Store 経由でリリースされていないアプリを初めて実行するときに、Finder に「検証中...」ダイアログ ボックスが表示されます。

アプリ スキャン プロセスは、アプリのバンドル (フォルダー) をスキャンして悪意のあるコンポーネントを探し、見つかった場合はその実行を阻止します。また、アプリのコンテンツを XProtect シグネチャ データベースに含まれる既知のマルウェア シグネチャと比較します。

これが、大規模なアプリを初めて実行するときに「検証」プロセスに非常に時間がかかる理由の 1 つです。

macOS Finder で公証された Mac アプリをダブルクリックすると、「このアプリはインターネットからダウンロードされたアプリです。開いてもよろしいですか?」というメッセージが表示されます。ダイアログ。これにより、必要に応じてアプリの実行を中止する機会が得られます。

クリックするとわかりましたFinder はアプリを起動し、それが公証されている場合、XProtect は悪意のあるコンポーネントのスキャンを開始します。

画像クレジット: アヴァグスタフソン

以前は、Gatekeeper を完全に無効にすることができましたが、Apple は 2016 年にこの機能を削除しました。Gatekeeper 以外のサードパーティ製 Mac ソフトウェアは、公証されていない場合、または開発者 ID を使用してビルドされていない場合、最初に警告することなく、現在のバージョンの macOS では実行されません。 。

Mac アプリの起動時に Finder に「ゴミ箱に移動」または未確認の警告が表示される場合は、次の場所にアクセスする必要があります。システム設定 -> プライバシーとセキュリティ。をクリックします。とにかく開くボタンをクリックして、Mac の管理者パスワードを入力します。

Apple は現在、サードパーティの開発者に対して、LSQuarantine(com.apple.quarantine) は、インターネット上で配布する前に、アプリのダウンロードにファイルシステム属性を拡張しました。この属性は、Gatekeeper がアプリを実行する前にスキャンするようにトリガーします。

ただし、開発者がこの属性を追加せずに Mac ソフトウェアをインターネット上にリリースすることは可能です。

これらのセキュリティ機能を総合すると、マルウェア攻撃者が Mac を悪質なソフトウェアに感染させることがはるかに困難になることを意味します。

Apple によると、XProtect は少なくとも 1 日に 1 回、Mac でのユーザー アクティビティが少ないときに実行されます。

YARA ルール

XProtect は、VirusTotal の YARA ルールのセットを使用して、データベースと Mac 上のアプリを比較します。 YARA は、シグネチャベースの検出を使用して、コードに埋め込まれたマルウェアを特定します。

XProtect は、Mac 上のアプリでマルウェアをスキャンするときに、YARA ルールを使用して各アプリの一連の比較をチェックします。これらにより、アプリまたはアプリ バンドルに埋め込まれた悪意のあるコードを示す手がかりが得られる可能性があります。

CISA には、使用に関するやや古い文書があります。マルウェア検出のための YARA。 Apple が macOS での YARA の使用を処理するため、YARA の内部詳細を知る必要はありません。

XProtect は、独自の署名ファイルをダウンロードして更新します。

既知のマルウェアを含むアプリを起動しようとすると、XProtect はXProtect リメディエーターそして、アプリにマルウェアが含まれている可能性があることを Finder で警告します。 Finder は、ゴミ箱に移動するかどうかを尋ねます。

クリックするとゴミ箱に移動、Finder はアプリを macOS のゴミ箱に移動しますが、削除はしません。を使用する必要があります。Finder -> ゴミ箱を空にするメニュー項目を使用して実際に Mac からアプリを削除します。

XProtect Remediator は、特定のアプリを起動しようとしたときに XProtect がどのマルウェアを検出したかを Finder に表示します。次に、それをゴミ箱に移動するかどうかを決定できます。

Eclectic Light Company の Howard Oakley は、素敵なページXProtect Remediator の実行時に何が起こるかについて。

オークリーには、2022年のメモApple が XProtect に加えた変更と、どのマルウェアをスキャンするかについて説明します。ただし、リストは決して網羅的ではありません。

XProtect およびその他の macOS セキュリティ ソフトウェアがどのように機能するかについての概要情報については、Apple の Web サイトを参照してください。プラットフォームセキュリティガイドそしてゲートキーパーとランタイム保護macOSの場合。

macOS には、XProtect へのコマンドライン インターフェイス (CLI) も含まれています。xprotect。コマンドを使用してターミナルでこのツールを実行し、Mac 上で実行されている XProtect に関する情報を取得できます。

のリストについては、xprotectターミナルで次のようにコマンドを入力します。

man xprotectそして押します戻るキーボード上で。

簡単に言うと、コマンドは次のとおりです。

  1. 更新 - 新しい XProtect ファイルの強制ダウンロード
  2. チェック - 現在利用可能なオンライン更新バージョンを印刷します
  3. version - XProtect ファイルの現在インストールされているバージョンを出力します。
  4. ログ - XProtect ログを表示します
  5. status - XProtect の現在のステータスを出力します。
  6. help - サブコマンドのヘルプを出力します。

すべてのことに注意してくださいxprotectコマンドは、sudoそれらが機能するためには、ターミナルでコマンドと管理者パスワードが必要です。

たとえば、ランニングsudo xprotect updateプリント:

Starting update.

No update applied, already up to date

ダウンロードする XProtect の新しい部分がない場合。

Appleの対応

Apple が指摘しているように、XProtect がマルウェアを検出すると、Apple は次のようないくつかの方法で対応する可能性があります。

  1. 関連する開発者 ID 証明書はすべて取り消されます。
  2. 公証取り消しチケットはすべてのファイルに対して発行されます
  3. XProtect シグネチャが開発およびリリースされる

一般に、ターミナルで Mac のシステム セキュリティ ポリシーを確認するには、spctlコマンドラインツール:

spctl --status(システム ポリシー制御)。

セキュリティ スキャンが有効になっている場合は、次の応答が表示されます。

assessments enabled

spctlには膨大な数のオプションとツールがありますので、man詳細については、ターミナルのページを参照してください。

XProtect を無効にすることはできますか?

答えは次のとおりです。たいてい。でもやめてください。

Mac が常にオフラインである場合、ソフトウェアをめったにインストールしない場合、または特定のパフォーマンスの問題が発生している場合を除き、XProtect を無効にする本当の理由はありません。そうすることで、Mac がインターネット上の既知および未知のマルウェアの洪水にさらされることになります。そして、そうした場合、問題が発生するだけです。

そうは言っても、もしあなたが絶対にしなければならないXProtect を無効にするには、ターミナルで次のコマンドを使用します。

sudo spctl --master-disable

XProtect を再度有効にするには、次のコマンドを使用します。

sudo spctl --master-enable

そして押します戻る

XProtect を無効にする場合でも、その期間はできるだけ短くすることをお勧めします。無効にする必要があるタスクが完了したら、必ずすぐに再度有効にしてください。

サードパーティ製スキャナ

XProtect は Apple によって管理されており、macOS の一部ですが、悪意のあるソフトウェアを探すために Mac 上でサードパーティのマルウェア スキャナーを実行したい場合があります。

Norton や McAfee などの実績のあるスキャナーは何十年も前から存在しているため、常に安全です。小規模なサードパーティ製の優れた製品もあります。プライバシースキャン ($15)SecureMac.com から。

サードパーティのスキャナを使用する場合は、Mac App Store で販売されているスキャナを使用するようにしてください。Apple はすべての App Store アプリを審査して、マルウェアが含まれていないことを確認しているためです。

Apple は XProtect で良い仕事をしており、ほとんどの場合、静かで信頼性が高いです。新しい脆弱性ファイルとアップデートが Apple からリリースされ次第、すべての Mac に確実に適用されるように、システム設定で自動セキュリティ アップデートを有効にすることをお勧めします。

Related Post

出版社は収益分割や購読者データへのアクセスを巡り、アップルのニュース購読提案に難色を示している

出版社は収益分割や購読者データへのアクセスを巡り、アップルのニュース購読提案に難色を示しているIsamu

カナダのロジャースはiPhone Xに対する「莫大な」需要を見込んでおり、iPhone 8のステータスを「良好」にアップグレード

カナダのロジャースはiPhone Xに対する「莫大な」需要を見込んでおり、iPhone 8のステータスを「良好」にアップグレードIsamu

Amazon Prime Dayに注目のApple周辺機器とアクセサリ

Amazon Prime Dayに注目のApple周辺機器とアクセサリIsamu

You Missed

カナダのロジャースはiPhone Xに対する「莫大な」需要を見込んでおり、iPhone 8のステータスを「良好」にアップグレード

判事は、Apple が特許を侵害している Samsung 製品から継続的にロイヤルティを受け取る権利があるとの判決を下した

AppleのiPadがVerizonとAT&Tから販売開始

ティム・クック氏:フェイスブックのケンブリッジ・アナリティカ消費者データの大失敗でハイテク業界は自主規制を超えざるを得ない

Appleロゴは将来のiPhoneの通知に使用される可能性があります

Apple、オーストラリアでのGalaxy Tab 10.1に対するSamsungの妥協案を拒否

ノコギリ波の遅延。 Power Macintosh G4 はまだデビューする可能性がある

iPhone 12 ProでProRAWを撮影・編集する方法