« ClamAV 0.94 以降の PUA 検出機能 | Main | キーチェーンアクセスのパスワード »
Computerworld に「15 easy fixes for Mac security risks」という記事が上がっています。概要を紹介します。
「The Mac Security Blog » Post Topic » 15 Tips for Securing Your Mac」で Computerworld の「15 easy fixes for Mac security risks」という記事が紹介されていました。記事はもちろん英語で、しかも結構長いのでちゃんと読むのはうんざりですが、その「15 easy fixes」の見出しをざざざっと紹介します。ほとんどの項目は記事の中身を見ていません。というか全部見ていません。見出しだけ読んで書いています。
もうこれは、このブログでではありませんが、僕もしょっちゅう書いていたことですね。
Safari の日本語リソースのこのチェックボックスのラベルは全くもって不適切です。だって“安全な”ファイルかどうかなんてどうして Safari にわかるんでしょうか? 実際に Mac OS X の脆弱性を利用した危険な“安全な”ファイルがありましたし。英語の元記事でも safe
と書いてあるので、日本語リソースが不適切なんじゃなくて元々不適切なんですね。
これはこのブログでも度々書いています。Mac OS X がターゲットのトロイの木馬に(配偶者が使っていて)やられたのだけどどうしたらよいかという相談を別なブログの僕の記事を見て相談してきた方もいらっしゃいます。マルウェアに出会わないから Mac OS X にアンチウィルスソフトは要らないという人もいますが、それは幻想です。
記事では次のソフトを紹介しています。リンク先は日本語ページがあるものは日本語ページに変更してあります。
古いバージョンも含めて Mac OS X で僕が使ったことがないのは Sophos のだけですが、Norton と McAfee のはバージョンが古過ぎて、なんの示唆もできません。無償で使用できる ClamXav はともかく他は有償の製品なので公平のためにここではノーコメントとしておきます。
ゲストアカウントというものが Mac OS X に用意されているというのが僕には信じられない感覚です。あまりにも信じられない機能なので記事の流し読みすらしてません。(あ、他の項目も流し読みすらしてないのばっかりだった)
自分の Mac を公衆に使わせる場面なんてとても想像できないからです。一時的に誰かにログインさせるとしてもその誰かって累計しても何十人にもなりませんよね。だったらその誰か毎にアカウントを作りましょう。何十人にもなるようだったら、ログインさせるという使い方を見直しましょう。
よわっちいパスワードって結構簡単に総当たりで破ることができるんですよ。というかそういうのがよわっちいパスワードなんですけどね。
前からあったのか Leopard からなのかわかりませんが、アカウントのパスワードを設定するときに横っちょにボタンがありますよね。あれでパスワードを生成するといい具合のパスワードが出てくるのですが、覚えられそうもありません。アルファベット大文字、アルファベット小文字、数字、そのシステムでパスワードに使ってもよい記号、こういう異なる字種を最低でも二つ使い、長さは 8 文字以上にすることと、言葉になっていないことと、キーボードの並びなどの特別な文字列のまんまとかにしないことです。それで及第点のパスワードになるような気がします。
自分一人だけが使う Mac だからって自動ログインを有効にしていたら駄目です! 以上。
使用する権限があると認定するためのユーザ名とパスワードなんだから、それを知らない人にヒントなんて出すのは本末転倒というか、そういう仕組みの自己否定というかなんというか…とにかく変です。
ときどき web サービスなどで同じような仕組みがあるじゃないですか。あれとは重要なところが違います。あれはパスワードそのものかパスワードを再設定するための URL をメールで送ってくるじゃないですか。そのメールの宛先って本人が設定したものですよね。だからそれを受け取るのは本人だと推定できるわけです。でも、Mac OS X へのログインでは目の前の人が本人だと推定できないじゃないですか。そのための材料を知らないか忘れちゃっているんだから。
他のほとんどの項目をやっても、これを設定しておかないと知識がある人なら、物理的に目の前にある Mac の Mac OS X を勝手に使い始めることができるんですよ。
例えばスリープやスクリーンセーバが出ている状態から復帰したときにログインするときのパスワードを要求したり、OS 備え付けのファイヤーウォールを設定したりするところです。この項目は更にその中の「一般」タブのことかな。
僕は速攻で設定するのでデフォルトがどんなだったか覚えてませんが、多分デフォルトはこうじゃないかなというのを想像すると、デフォルトのままっていうのはまずいっす。
例えば FireWire とか Bluetooth によるネットワークインターフェースってあんまり使っている人いないと思うんです。使うかどうかわからないけれど使うとき悩むのが嫌だから有効にしておこうという発想もあるかと思うのですが、要らないものは使わないのがセキュリティ向上のパターンです。使わないと留意しないですよね。留意しないけれど有効になっていたら、セキュリティ上の抜けがあってもそのまんまってことです。
どうせそういうちょっと変わったネットワークインターフェースを使うデバイスを使うときはそのデバイスの取説に設定の仕方がかいてあるんじゃないんですかね。使うとき悩まないと思いますよ。多分ね。
システム環境設定の「セキュリティ」の中にある FileVault のことですね。あとディスクイメージファイル(dmg ファイル)を作るときにもパスワードを設定して暗号化するのもありますね。ディスクやディスクイメージが他人の手に渡っても、あるいは root 権限を奪取したローカルユーザや侵入してきたリモートユーザに対しても、あなたが使っていないときはあなたの領域を守ることができます。
でも FileVault だったらホーム以下がまるっと暗号化された書き込み可能なディスクイメージになるから、ディスクイメージとして壊れたら悲惨なことになりそうですね。TimeMachine などでしっかりバックアップ体制を整えておくのが吉です。
なんかあまり使っていなさそうですけど、結構便利なのがキーチェーンアクセスユーティリティの「秘密メモ」です。クレジット番号とかオンラインショッピングのためにメモしておきたいときに、どこかからツールを拾ってきてメモしたファイルを暗号化したり暗号化したディスクイメージの中にファイルを作ってそこにメモしたりとかしてそうな人が結構いそうな感じがします。でも、テキストのメモ程度だったら Mac OS X 備え付けのキーチェーンアクセスユーティリティが使えるんですよ。ちょっと立ち上げてみてくださいな。
システム環境設定の「セキュリティ」の中で設定できますね。全ての受信を許可なんていうのは絶対にやっちゃいかんことです。特に MacBook などのポータブルな Mac では最初から選択できないようにしておいてほしいくらいです。
必須サービスのみというのが選択肢の中で一番強い設定ですが、実はこれではまだ弱くって、実はこれでは機能を損なうアプリがあるんです。「特定のサービスおよびアプリケーションにアクセス設定」がいいんじゃないかと思います。ときどき思わぬアプリに受信してもいいかって訊かれますが、何がアクセスを受け付けるのかをちゃんと把握したり検討したりするのは良い習慣です。
Leopard のこのファイアーウォールは Unix 系の他の OS にはそうそう付いていないちょっとしたファイアーウォールですが、本当は、それに合わせて Mac OS X に元々入っている ipfw という BSD Unix 系のファイアーウォールの仕組みと併用するのがベストです。でもちょっと難しいので上級ユーザ向けですね。
Finder の環境設定の詳細にゴミ箱を空にするときにきち〜んと消去するオプションがありますよね。削除したファイルを戻したくなるとしてもそのためのユーティリティは Mac OS X に付いていないと思うし、そういうユーティリティを調達したとしても、100% 復元できるわけではないです。ですから消すときは思い切って消しましょう。戻したいときには TimeMachine があるじゃないですか。
ディスク消去はもっと重要です。Mac を捨てたりディスクを交換して捨てられたディスクから漏れたらまずい情報を抜き出すこともできますからね。
環境設定の「共有」をむやみやたらに項目にチェックを入れないってことです。必要なときがくるかもなあと思ってチェックを入れる人もいるかもしれませんが、必要なときに必要な間だけチェックを入れてください。特に MacBook などでは重要なことです。
Web 共有(要するに Apache)を自分のために使いたい - つまりはローカルからしかアクセスしない - のだったら、有効にした上で Apache の設定ファイル(/etc/apache2/httpd.conf)か ipfw でローカルからだけ接続を受け付けるようにしておけば OK。
Bonjour って勝手に「私ここよ」とやってくれるから便利なんだけどさあ…。例えば戦場で「私ここよ」と誰にでも見えるところにしゃしゃり出たら即死ですよね。
最近ではかなりアプリケーションが起動するときや使っている最中に新バージョンをチェックして、もし新バージョンがあったら教えてくれるようになりました。便利な世の中になったものです。でも、それは起動したアプリケーションだけで起動していないアプリケーションは、特にバックグラウンドでアップデート用のプログラムが動いていない限り新しいバージョンを発見してくれません。
それにそういうのは大抵アプリケーションだけであってソフトウェア全般じゃないです。システム環境設定の「ソフトウェアアップデート」はちゃんと設定を確認しておくのはもちろんですが、例えば /usr/local にインストールした Unix 系のソフトウェアもきちんとアップデート確認を常にしておきたいものです。
そこで宣伝ですが私のオープンソースプロジェクト clamav-update はその気になれば殆どのソフトウェアを自動でアップデートするのに利用できます。ClamAV のアップデートがターゲットですが、同じようにソースからビルドするもだけでなく dmg ファイルで配布されているものや、更にその中にインストーラーがあるものまでカバーしています。
あれ? 15 項目じゃなくって 16 項目ありますね。あ! 最後のは easy fixes
じゃないからか。
途中で気付いたのですが、これって「僕は見ていた : 情報セキュリティ国際評価基準」で紹介した情報セキュリティ国際評価基準の Mac OS X 版とかなりダブりますね。