IMAGE BY EMILY WAITE

フィッシングなどの脅威やひどいバグ、新種のマルウェアといったものがはびこるなか、Macはもはやアップルがかつて謳っていたような難攻不落の端末ではなくなってしまった。

こうした新たな脅威をモニターし、Macを守るにはどうすればいいのか。Digita Securityの研究者たちはその答えを探るなかで、Macにすでに備わっている機能を意外な方法で活用することを思いついた。しかも、これにはアップルのゲーム用ロジックエンジンが利用されている。

ゲームの仕組みを応用したセキュリティツール

Digitaの最高研究責任者（CRO）パトリック・ウォードルが3月に発表したのは、新ツール「GamePlan」。アップルのゲーム開発用フレームワーク「GameplayKit」を使ってつくられたこのGamePlanは、Macで疑わしい動きがないかを監視し、何かあれば人が調査できるようフラグを立てる監視ツールだ。

全体的なコンセプトはほかのセキュリティソフトと似ており、アップルがすでにmacOSで提供している検出メカニズム（「USBが接続された」「スクリーンショットが撮られた」「プログラムがウェブカメラを使っている」など）に接続されている。ただし、GamePlanはこうしたデータをすべて集め、GameplayKitによって処理するのだ。

「GameplayKitは、イヴェントを鑑定し、アクションを実行するところまで対応しています。例えばゲーム『パックマン』では、デフォルトでゴーストがパックマンを追いかけますよね。これはルールです。パックマンがパワークッキーを食べると、ゴーストたちは逃げていきますが、これもまた別のルールです。ここでわれわれは、アップルがツール制作作業の大変な部分を全部やっておいてくれたことに気づきました。このゲーム用ロジックエンジンは、システム上のイヴェントを非常に効率的に処理し、警告を表示するのにも使えるわけです」

例えば、「特定のディレクトリーにファイルが作成されていて、そのファイルはインター ネットからダウンロードしたプログラムによって作成されており、さらにそのプログラムにアップルからの認証を示す電子署名がされていない場合、アラートを生成する」といったルールを定められる。

あるルールの上に別のルールを追加することも可能だ。例えば、「ユーザーがアクティヴ状態でないときに、インターネットからダウンロードした未署名のプログラムが起動したままになり、ウェブカメラへアクセスした場合、アラートを生成する」といった具合である。

「あなたの想像力の限界がGamePlanの限界です」

「このマルウェアのシグネチャーを検出したらアラートを生成」という一連のルールを設定できるGamePlanは、このアプローチによって簡単にシグネチャー型アンチウイルス・サーヴィスとしての機能を提供できる。しかも、ルールには幅をもたすことができ、基礎的なシステム情報に関連づけることも可能だ。このため、感染を示すアクションを監視するルールを記述しておくだけで、未知のマルウェアも発見できてしまう。

さらに、GamePlanは内部関係者による不正行為を警告することもできる。関係者がデヴァイスに不正アクセスしたり、データをデヴァイスからこっそりもちだしたりするときに起こしうるアクションを、検出させればよいのだ。

ルールをより具体的にすることで、不要なアラートをあらかじめ外しておくこともできる。USBメモリーなどを使って個人情報を盗み出そうとする悪質な従業員に対しては、「開発担当者のパソコンにあるファイルが、リムーヴァブルUSBストレージにコピーされた場合：アラートなし。人材担当者のパソコンにあるファイルがコピーされた場合：アラートあり」とできるかもしれない。同様に「OSのコンポーネントが、アップルのアップデーターによって変更された場合：アラートなし。信頼されていないプログラムによって変更された場合：アラートあり」などの設定も可能だ。

「あなたの想像力の限界がGamePlanの限界です。つまり無限の可能性を秘めています」とウォードルは語る。独自のルールを書いたり、複数のルールを組み合わせて「ルールパック」を作成するといった作業は、Digitaの社員にもGamePlanユーザーにも簡単に行えるという。利用者は自分の設定やニーズに基づいてどのルールパックを使うかを選び、システムに追加すればいい。

大切なのはアップルのシステムに仕事をさせること

ウォードルはこれまでにも、いわゆる「悪意あるメイド攻撃」（ハッカーが標的となるデヴァイスに直接触れる攻撃）への対応として、優雅なほどシンプルなイヴェント通知を使ってユーザーに危険を警告する実験を行ってきた。同様にGamePlanも、何か危険なイヴェントが発生したとしても、通知を送る以上のアクションはとらない。また、検知漏れよりも誤検知が多くなるように構築されている。

しかし、セキュリティ企業のArea 1 Securityで最高セキュリティ責任者（CSO）を務めるブレイク・ダーシェは、GamePlanの通知数は妥当な数だと話す。同社では、社内のほぼすべてのMacでGamePlanを試用している。ダーシェいわく、たとえ特定のイヴェントに対する通知がくどくなりすぎた場合でも、ルールは比較的簡単に調整できるそうだ。

「クラウドと機械学習に心血を注ぐのが大半のマーケットの動きですが、DigitaはMac自体に多くの処理をさせるという別の側面からのアプローチをとっていて気に入りました」とダーシェは言う。

「GamePlanはコンプライアンスチェックにも最適です。『やあ、ファイアウォールはオンになっているかい？』『FileVaultは有効になっているかい？』と尋ねるような感じです。Macに搭載されている基本的なセキュリティコンプライアンス機能はそこまで魅力的とは言えませんが、その機能を知ることは本当に重要なことのひとつなのです」

Digitaは、顧客向けのルールを事前入力し、新しい脅威に対して新しいルールを書くというフレームワークの構築に引き続き取り組んでいる。しかしウォードルは、アップルのシステム自体に多くの仕事をさせることが重要なコンセプトであると話す。実際に何が起きているのかを、できる限り多くのコンテクストを元に正確に把握するためだ。

「病気になったとき、何を患っているのか正確にはわからないかもしれませんが、何かがおかしいということはわかりますよね。それと同じようなことです。異常なイヴェントも、何回も見ていれば適切な判断を下せるのですよ」