hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections/README.md

macOSセキュリティ保護

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、最新バージョンのPEASSにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを見つけてください。これは、私たちの独占的なNFTのコレクションです。
• 公式のPEASS＆HackTricksグッズを手に入れましょう。
• 💬 DiscordグループまたはTelegramグループに参加するか、Twitterで私をフォローしてください🐦@carlospolopm。
• ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。

Gatekeeper

Gatekeeperは通常、Quarantine + Gatekeeper + XProtectの組み合わせを指すことが多く、これらの3つのmacOSセキュリティモジュールは、ユーザーが潜在的に悪意のあるソフトウェアを実行するのを防ぐために使用されます。

詳細は次を参照してください：

{% content-ref url="macos-gatekeeper.md" %} macos-gatekeeper.md {% endcontent-ref %}

MRT - マルウェア除去ツール

マルウェア除去ツール（MRT）は、macOSのセキュリティインフラのもう一つの部分です。その名前からもわかるように、MRTの主な機能は、感染したシステムから既知のマルウェアを削除することです。

マルウェアがMacで検出されると（XProtectまたは他の手段によって）、MRTを使用してマルウェアを自動的に削除することができます。MRTはバックグラウンドで静かに動作し、通常、システムが更新されるか、新しいマルウェア定義がダウンロードされると実行されます（マルウェアを検出するためのMRTのルールはバイナリ内にあるようです）。

XProtectとMRTは、macOSのセキュリティ対策の一部ですが、それぞれ異なる機能を果たしています：

• XProtectは予防ツールです。ファイルが（特定のアプリケーションを介して）ダウンロードされると、ファイルをチェックし、既知のマルウェアの種類を検出した場合は、ファイルを開かないようにして、システムへのマルウェア感染を防ぎます。
• 一方、MRTは反応型ツールです。マルウェアがシステムで検出された後、問題のあるソフトウェアを削除してシステムをクリーンアップすることを目的としています。

MRTアプリケーションは、**/Library/Apple/System/Library/CoreServices/MRT.app**にあります。

プロセス制限

SIP - システム整合性保護

{% content-ref url="macos-sip.md" %} macos-sip.md {% endcontent-ref %}

サンドボックス

MacOSサンドボックスは、サンドボックスプロファイルで実行されるアプリケーションが許可されたアクションに制限されるようにします。これにより、アプリケーションが予期されたリソースにのみアクセスすることが保証されます。

{% content-ref url="macos-sandbox/" %} macos-sandbox {% endcontent-ref %}

TCC - 透明性、同意、および制御

TCC（透明性、同意、および制御）は、macOSのメカニズムであり、プライバシーの観点からアプリケーションの特定の機能へのアクセスを制限および制御するためのものです。これには、位置情報サービス、連絡先、写真、マイクロフォン、カメラ、アクセシビリティ、フルディスクアクセスなどが含まれます。

{% content-ref url="macos-tcc/" %} macos-tcc {% endcontent-ref %}

信頼キャッシュ

Apple macOSの信頼キャッシュ、またはAMFI（Apple Mobile File Integrity）キャッシュとも呼ばれるものは、macOSで許可されていないまたは悪意のあるソフトウェアの実行を防止するためのセキュリティメカニズムです。基本的には、ソフトウェアの整合性と信頼性を検証するためにオペレーティングシステムが使用する暗号ハッシュのリストです。

macOSでアプリケーションまたは実行可能ファイルが実行されようとすると、オペレーティングシステムはAMFI信頼キャッシュをチェックします。ファイルのハッシュが信頼キャッシュに見つかった場合、システムはそのプログラムを実行を許可します。なぜなら、それを信頼されたものと認識するからです。

起動制約

これにより、Appleの署名されたバイナリをどこから、どのように起動できるかが制御されます：

• launchdによって実行されるべきアプリを直接起動することはできません。
• /System/のような信頼された場所の外部でアプリを実行することはできません。
• ハッキングのトリックを共有するには、PRを hacktricksリポジトリ と hacktricks-cloudリポジトリ に提出してください。