私はMac用のアプリを可能な限りMac App Storeからダウンロードするようにしています。Mac App Store経由だと、Appleがすべての申請を審査し、有害なソフトウェアを寄せ付けないことが分かって安心できます。
しかし、時折、Mac App Storeの安全な場所の外で配布されるアプリが登場します。確かに、ターミナルでMac App Store以外のアプリの署名情報を確認することはできますが、心の弱い人には向いていません。
まさにそれが、Suspicious Package と呼ばれる気の利いた小さな Mac アプリが一挙に解決する種類の問題です。
Mothers Ruin Software という会社が作成したこの無料アプリは、実際には Mac の Quick Look 機能のプラグインであり、.PKG インストーラー ファイルをダウンロードした後、起動する前にその内容を簡単に素早く検査することができます。
Suspicious PackageをMacにダウンロードしたら、インストーラーをダブルクリックしてQuick Lookプラグインをシステムに展開してください。Macのセキュリティ設定によっては、アプリをインストールできないというメッセージが表示される場合があります。
このメッセージが表示された場合は、インストーラー ファイルを右クリックし、コンテキスト メニューから [開く] を選択して、疑わしいパッケージをインストールすることを確認します。
クイックルックプラグイン
Quick Look をご存知ない方のために説明すると、これは OS X の見過ごされがちな機能で、クリエイター向けアプリで開かずに既知のファイル形式を素早くプレビューできます。サードパーティの開発者は、OS X で標準サポートされていないファイル形式向けに独自の Quick Look プラグインを開発してきました。
Suspicious Packageをインストールするには、Finderで.pkg形式のインストーラファイルを選択し、キーボードのスペースキーを押します。すると、インストーラの内容に関する様々な情報(重要な署名情報など)を含むクイックルックプレビューが表示されます(詳細は次のセクションで説明します)。
Quick Look プラグインは、パッケージのフォルダ構造とファイルの概要や、OS X インストーラによって実行される基礎となるインストーラ スクリプトの詳細情報など、さまざまな情報を表示します。
インストーラー スクリプトについて言えば、開発者によると、「悪意のあるパッケージがこのメカニズムを利用して大混乱を引き起こす可能性があり、善意であってもバグのあるパッケージが損害を与える可能性があります」。
上の写真: 疑わしいパッケージのスクリプト ブラウザー。
署名と証明書に関する短期集中講座
パッケージが有効なApple証明書で署名されている場合、「Signed By」の見出しの下に有効なDeveloper ID証明書が表示されます。パッケージには以下の種類があります。
- APPLE, INC.: www.apple.com、OS X ソフトウェア アップデート、または Mac App Store を通じて安全にソフトウェアを配布できるように、有効な Apple 証明書で署名されています。
- 開発者 ID: Mac App Store 外での安全なソフトウェア配布のために、Gatekeeper プログラムに基づいて Apple が発行した有効な開発者 ID 証明書で署名されています。
- 有効: Gatekeeper プログラムによる Apple または Developer ID 証明書を使用して認証されていないが、OS X によって信頼されている証明機関によって発行された証明書で署名されている
- 信頼されていません: OS X によって信頼されていない証明書を使用して署名されており、信頼できる証明機関によって発行されていません。
- 期限切れ:期限が切れたか取り消された証明書で署名されています。
- 失効:証明書は紛失または盗難されたため、失効している可能性があります。
- 信頼済みとしてマークされています:この Mac で信頼済みとしてマークされた証明書で署名されています。
OS Xのインストーラは、証明書が無効になる前にパッケージが署名されていたかどうかを検証することがあります。その場合、OS Xインストーラは署名を有効と判断するものの、Quick Lookプレビューでは「期限切れ」または「失効」と表示されます。これは、「疑わしいパッケージ」が検証済みの署名時刻情報にアクセスできないためです。
制限事項
まず、署名の検証は複雑なため、Suspicious Package では、署名後にパッケージが変更されたかどうかを直接知ることはできません。
次に、OS Xは多種多様なインストーラをサポートしていますが、Suspicious Packageは必ずしもそれらすべてを理解できるわけではありません。Quick Lookがインストーラパッケージの構造を認識できない場合は、パッケージが壊れているか古いものであるというメッセージが表示されます。
最後に、パッケージによってインストールされたファイルの数が 10,000 項目を超える場合、Suspicious Package ではすべてのファイルが表示されないことがありますが、これは非常にまれです。
疑わしいパッケージのアンインストール
疑わしいパッケージはデフォルトですべてのユーザーにインストールされますが、インストーラーを使用すると、オプションで Quick Look プラグインを Mac 上の自分のユーザー アカウントに制限できます。
アプリを削除するには、Finderで起動ディスクを開き、 「ライブラリ」>「QuickLook」フォルダ内の「Suspicious Package.qlgenerator」という項目をゴミ箱に移動してください。Quick Lookプラグインを削除するには、管理者パスワードを入力する必要があります。
このようなアプリをもっと見る
Suspicious Packageが気に入ったら、Pacifistという類似アプリも試してみてください。このMac用ユーティリティを使えば、パッケージファイルやインストーラファイルとその内容に完全にアクセスでき、インストーラ自体を実行せずに個々のファイルを抽出することも可能です。
Pacificは公式サイトから無料でダウンロードできます。定期的に使用する場合は、1回につき20ドルで登録できます。証明書の信頼性と署名の有効性に不安がある場合は、ターミナルからOS Xツール「pkgutil」を使ってインストール前にパッケージの署名を検証することもできます。
最後に、私はThe LoopのDave Markを通じてSuspicious Packageについて知ったということを指摘しておきたいと思います。
可用性
Suspicious Package は、OS X 10.8 Mountain Lion 以降を搭載した Intel ベースの Mac でご利用いただけます。OS X 10.7 Lion または OS X 10.6 Snow Leopard を搭載した旧バージョンの Suspicious Package もご利用いただけます。
Quick Look は OS X Leopard で導入されたため、古い OS X バージョン用の Suspicious Package は Quick Look プラグインではなくスタンドアロン アプリです。
サンドボックスの制限により、このアプリはMac App Storeから入手できません。ちなみに、Suspicious Packageインストーラー自体はApple発行の証明書で署名されているため、OS XのGatekeeper機能によって有効と認識されます。
公式サイトから「Suspicious Package」を無料で入手してください。
