システム整合性保護
macOSのシステム整合性保護(SIP)について
システム整合性保護(System Integrity Protection, SIP)は、macOSのセキュリティを強化するために導入された重要な機能です。この機能は、root権限を持つユーザーを含む、すべてのプロセスがシステムファイルやディレクトリを不正に変更することを防ぎます。これにより、マルウェアや不正なソフトウェアによる攻撃からシステムを保護し、安定した動作を維持することが目的です。
SIPの導入背景
Appleは、root権限がシステムのセキュリティにおいて大きなリスク要因であると考えています。特に、単一の管理者アカウントを使用しているシステムでは、マルウェアがroot権限を取得すると、システム全体を完全に制御できてしまう可能性があります。SIPは、この脆弱性に対処するために導入されました。
以前のmacOSでは、ユーザーがroot権限を持つとシステム全体へのアクセスが可能でした。しかし、SIPは、このroot権限を制限することで、セキュリティレベルを大幅に向上させました。これにより、システムに対する不正な変更を防止し、ユーザーが安全にmacOSを利用できるようにしています。
SIPの機能
SIPは、主に以下の3つのメカニズムによってシステムを保護しています。
1. システムファイルとディレクトリの保護: SIPは、`/System`、`/bin`、`/sbin`、`/usr`などのシステムファイルやディレクトリの内容、およびファイルシステムのパーミッションを保護します。これらのファイルやディレクトリは、不正な変更から保護するために特別なフラグが設定されています。
2. プロセスの保護: SIPは、コードインジェクション、ランタイムアタッチ(デバッグ)、DTraceなどの手法を利用した、不正なプロセスの活動を防止します。これにより、マルウェアがシステムに侵入して悪意のあるコードを実行することを防ぎます。
3. 署名されていないカーネル拡張機能の保護: SIPは、署名されていないカーネル拡張機能(kexts)のロードを防止します。これにより、悪意のあるカーネル拡張機能がシステムにインストールされるのを防ぎ、システムの安定性を維持します。
SIPによって保護されるファイルとディレクトリは、`/System/Library/rootless.conf`に定義されています。また、`/Applications`にインストールされているApple製のアプリケーションも保護対象です。これらのファイルやディレクトリは、特別な権限を持つプロセスでも変更できません。例外として、Appleのソフトウェアアップデートの際にのみ変更が許可されます。
SIPの設定
SIPはデフォルトで有効になっていますが、ユーザーは必要に応じて無効化することも可能です。SIPを無効化するには、macOS復元システムから`csrutil`コマンドを使用する必要があります。このコマンドは、デバイスのNVRAMにブート引数を追加することで、SIPの設定を変更します。ただし、SIPを無効化すると、システムのセキュリティレベルが低下するため、通常は有効にしておくことが推奨されます。
SIPは、システムパーティション外からのみ、全部または一部を無効にすることができます。また、SIPを無効化しても、macOSを再インストールすると、再び有効になります。
セキュリティホール
過去には、SIPをバイパスできる脆弱性も発見されています。2023年には、移行アシスタントを利用してSIPをバイパスできるMigraine(CVE-2023-32369)と呼ばれる脆弱性が発見されました。しかし、この脆弱性は、Appleによって配布されたセキュリティアップデートで解消されています。
その他の関連情報
- - macOS High Sierra以降では、カーネル拡張機能のロードにユーザーによる許可を必要とするSecure Kernel Extension Loading(SKEL)という機能が導入されています。これにより、署名されたカーネル拡張機能であっても、初回起動時にユーザーの許可が必要になります。
- - SIPが有効になっている場合、ディスクユーティリティや`diskutil`コマンドによるアクセス権の修復は利用できません。これは、システムファイルへの書き込みを制限することで、システムの整合性を維持するためです。
まとめ
システム整合性保護は、macOSのセキュリティを大幅に向上させるための重要な機能です。この機能により、システムファイルやディレクトリを不正な変更から保護し、マルウェアや不正なソフトウェアによる攻撃のリスクを低減することができます。SIPを適切に利用することで、macOSを安全かつ安定的に利用することができるでしょう。
参考資料
- - System Integrity Protection Guide in Apple's Mac Developer Library
- - Mac のシステム整合性保護について
もう一度検索
【記事の利用について】
タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。
【リンクついて】
リンクフリーです。