Oligur

• ニュース

マカフィーは、Mac向けウイルス対策アプリケーションのユーザーに対し、「信頼できない証明書を許可する」よう指示しました。これは、社内の管理者が誤ってソフトウェアの認証に使用していたデジタルキーを失効させたことを受けたものです。1週間以上にわたり、ユーザーはMacにマカフィー製品をインストールできず、同社が現在唯一採用している回避策は、信頼できない証明書を許可することであり、これはユーザーのマシンにリスクをもたらす可能性があります。

Ars Technica は、Apple の証明書失効リストには McAfee のキャンセルの理由として「重要な侵害」と記載されていると報じているが、McAfee の関係者は、アプリケーションが正当なソースからのものであることを証明するために使用される機密の証明書の管理を失ったことはなく、ユーザーのマシンに害を及ぼすことはないと主張している。

失効日は2月6日と記載されており、Macユーザーは1週間以上もMcAfee製品をインストールできない状態が続いています。回避策はありますが、Macのセキュリティが損なわれることになります。

「回避策として、彼らが解決するまでは、信頼できない証明書を許可するように言われました」と、ある大規模組織のIT管理者はArsに語った。「信頼できない証明書を信頼するように言われていますが、それは間違いなく私たちを危険にさらします。」

マカフィーの製品開発担当エグゼクティブバイスプレジデント、バーニー・ブライアン氏によると、同社のキーは開発用ハードウェアのアップグレードを担当していた管理者によって不注意で失効させられたとのことです。管理者は個人使用キーを失効させる代わりに、Appleが信頼できるアプリケーションの認証とエコシステムからのマルウェア対策に使用しているコード署名キーを誤って失効させてしまったのです。

予想通り、マカフィーのエンジニアたちはこの失敗を修正中ですが、その間に提供されるアドバイスは間違ったアドバイスばかりです。

マカフィーのサポート担当者が顧客に信頼できない証明書を受け入れるよう指示しているという報告について問われたブライアン氏は、「これは私たちが人々に伝えたいことではありません」と述べた。「それは有効な回避策ではありますが、私たちが安心して受け入れられるものではありません。」

驚くべきことに、1週間以上前に問題が発生したにもかかわらず、マカフィーは証明書が失効していることに気づいたのは2日前で、これが未だに修正されていない理由です。しかし、Arsによると、新しい鍵を取得するだけでは不十分です。マカフィーのエンジニアはまずアプリケーションを再構築して再署名し、その後、品質保証テストを実施して正常に動作することを確認する必要があります。

それにどれだけの時間がかかるかは誰にも分かりません。ブライアンですら見積りを出すことはできません。

つまり、現時点では、マカフィーの顧客は、インストールするアプリケーションが正規のマカフィー製アプリケーションであるかどうかを確認する方法がありません。これはユーザーにとって大きな問題です。問題が解決するまでマカフィーのウイルス対策製品を使用しないか、信頼できない証明書を受け入れてインストールするアプリケーションの安全を祈るか、どちらかを決断しなければなりません。

出典: Ars Technica