Mac OS Xの「ウィジェット」につきまとうセキュリティの不安

　Apple Computerは先週、最新OSのアップデートを公開し、ウィジェット関連のセキュリティ問題を解決した。だが、この小さなアプリケーションに深刻なリスクが潜んでいるとする懸念はいまだに払拭されていない。

　ウィジェットは、Mac OS X 10.4「Tiger」で追加された「Dashboard」用の小さなプログラムで、ダウンロード後に自動的にインストールされる。ところが、米国時間18日夜にFull Disclosureメーリングリストに出回った警告によると、攻撃者が目に付かないようバックグラウンドで動作し、「sudo」（管理者）権限を使ってマシンを乗っ取る悪質なウィジェットをつくる可能性があるという。管理者権限を持った攻撃者は、ターゲットにしたMacを完全にコントロールできてしまう。

　Appleは米国時間16日、Mac OS X 10.4.1アップデートを公開し、先に報告されていたウィジェット関連のセキュリティ問題を修正した。このパッチは、ウィジェットがアラートなしでダウンロード／インストールされてしまうという問題に対応するもの。パッチを当てたマシンでは、ダイアログボックスが表示され、ユーザーにダウンロードの確認を求めてくるが、ただしこの確認によってウィジェットがインストールされることまではユーザーに伝えない。

　18日にFull DisclosureにメッセージをポストしたJonathan Zdziarskiというソフトウェアエンジニアによると、このパッチによってリスクは緩和されるが、それでもウィジェットにはセキュリティの問題が残っているという。

　Zdziarskiはインタビューのなかで、「これらのウィジェットには決してシステムの管理者権限を与えるべきではない。Appleはウィジェットに関してMicrosoft的なスタンスを取っている。つまり、ウィジェットはOSに完全に統合された数少ないツールの1つになっている」と語っている。

　Zdziarskiは、先のウィジェット問題に対するAppleの対応にも不満を示しており、ウィジェットがダウンロードされるだけでなくインストールされてしまうことも明確にすべきだという。

　「あのボタンの文章はひどい。ユーザーはふつう、『ダウンロード』をクリックすれば、ダウンロードしかされないと考えるものだ。ところが、実際はウィジェットがインストールされてしまう」（Zdziarski）

　悪質なウィジェットは、インストールされるとバックグラウンドで動作し、ユーザーが管理者としてログインするのを待つ。そして、その権限を乗っ取って悪さをするのだとZdziarskiは説明する。同氏によると、ハードディスクを消去したり、AppleのKeychainツールで管理される被害者のユーザー名やパスワードのリストを攻撃者に送る、といったことが行われる可能性があるという。

　アプリケーションがMacにインストールされなければ、ユーザーは悪質なウィジェットの被害には遭わない。

　Appleは開発者らに対し、新しいウィジェットの開発を奨励しており、同社のウェブサイトではすでに209本が公開されている。また、同社のサイト以外の場所でも、ウィジェットは公開されている。

　Zdziarskiは、Tigerのユーザーに対して、信頼できるウェブサイトだけからウィジェットをダウンロードすべきだと注意を促してる。