荒波続きの1週間。
13日リリースの最新macOS「Big Sur」。初週はガタガタ続きでしたね。「ダウンロードが途中で止まる」「アプリが遅くなる」「アプリが開かない」「Apple Pay死んだ」「Map使えない」「全然関係ない前のOSまで処理が遅くなる」と苦情の嵐で、原因を調べているうちにセキュリティ上の問題があることもわかってAppleが対応に追われたりもしました。
ローンチ初週のゴタゴタをダイジェストでどうぞ。
①延々ダウンロード
ローンチ初日にAppleのサーバーがダウン。ダウンロードが終わらない現象、まったくできない現象が各地で頻発。Appleが「問題を解決した」と発表してからも障害は続いて、12回トライ&エラーをくり返す人まで出ました。
②画面ブラックアウト
インストールが永久に終わらない問題が週末下火になったのと入れ替わりに、今度は「インストール中、黒画面から抜け出せない」人がMacRumorsのフォーラムやReddit、Appleサポートコミュニティに出現しました。対象は主に2013年後半から2014年前半のMacBook Proで、新しいものだと2015年モデルや27インチ2019年モデルのMacといったところ。Appleのロゴと進捗バーは表示されるのだけど、何時間も動かないバーを見つめるだけに。強制終了すると再起動やリセットができなくなって、 USBリカバリ、NVRAMやSMCのリセット、セーフモード、インターネットリカバリにも入れなくなるみたいですよ?
③文鎮化
何度か試してリカバリできるのはラッキーなほうで、そのままブリック化してしまうマシンもありました。
④Big SurじゃないOSのアプリ起動まで遅くなる
人柱になるのが嫌でアプデを見合わせていた人にまでなぜか被害が広まり、Big Surと全然関係ない前のOSのMacでもアプリの起動が遅くなる現象も起こりました。
⑤アプリ起動履歴がAppleに送信されている...?
原因は何?と調べるなかでにわかに脚光を浴びたのが、セキュリティ研究員のJeffrey Paulさんが書いた「Your Computer isn't Yours」というエッセイです。日本でも「ついにストールマンが予言した自分のPCが自分のものでなくなる日が来た」と波紋を呼びました。
Appleはアプリ起動時に「Online Certificate Status Protocol(OCSP)」のデジタル認証システムでアプリの信頼性の検証を行なっています。Paulさんが懸念しているのは、このとき「いつどこでどのアプリを何回使ってるかの情報」もAppleのサーバーに送られること。その気になればAppleが見放題できる、さらにOCSPの認証リクエストは「暗号化されずに平文のまま」送られるので外部に筒抜け、送信先はCDNのAkamaiなので国に筒抜け…とまあ、いろいろプライバシー上、問題があるというのです。
非純正アプリ起動時にもMacからそのアプリの開発者を示すハッシュ値がAppleのOCSP専用サーバー(oscp.apple.com)に送られ、怪しいアプリではないかの認証が行なわれます。Big Surリリース初日のようにサーバーに負荷がかかりすぎるとそれができなくなって、ほかのOSにまで影響が広がるというわけです。Paulさんも念押ししてますが、これは前のmacOSでもあった問題みたいです。
⑥Apple製アプリにファイヤーウォールやVPNが効かない
ただ、CatalinaやMojaveでは利用履歴の送信をファイアウォールやVPNでブロックできていたのに、Big SurではApple純正アプリでこのブロックが効かなくなっているんですね。で、これは問題なんじゃないの?とベータ版の段階でほかの専門家からもツイートが上がっていたし、 Jamf社セキュリティ研究員のPatrick WardleさんからAppleに報告も行なわれていました。
これだけ騒げば事前に修正されるだろ~とみんな思っていたらパッチ抜きで一般リリースされたものだから、さあ大変。このままでは悪意のハッカーが純正アプリを突破口にマルウェアを仕込めちゃうんじゃ…と懸念が広まっているのですね。WardleさんがTwitterで実証結果を公開しているのでもう知らない人はいないと思ったほうが…。McAfeeとかでも「macOS Big Surはファイヤーウォールが効きません」って太文字で書かれていますしね(いま見たら、すぐBig Sur対応版にアプデするよう注意喚起してた…)。
アップルの説明
批判を受けてAppleはiPhone in Canadaにコメントを発表し、ヘルプの「Macで安全にアプリを開く」を改訂し、「プライバシー保護」という項目を加えたことを明らかにしました。日本版にはまだ上がってないので、英語版から翻訳しておきますね。
さらに今後1年のうちに開発者ID認証に新たな暗号化技術を導入し、サーバー障害予防策を強化して、オプトアウトも用意するそうですよ。ちなみにこのGatekeeperっていうのは上記のOCSPデジタル認証のことですね。
サーバーダウンとアプリ起動低速化の原因については「サーバー側の設定ミスで、macOSの開発者ID用のOCSPリスポンスをキャッシュできなくなったせい」だとのこと。さすがプライバシー推しのApple。iOS 14もBig Surもプライバシー万全とPRしているだけあって堂々たるものですね。そう、脆弱性の応酬は新OSローンチにはつきもの。心配ないない。不安ならパッチが出るまでお預けで。…とさわやかに締めたいところだけど、そういう話なのかなあ。
