Three layers of defense
Malware defenses are structured in three layers:

1. Prevent launch or execution of malware: App Store, or Gatekeeper combined with Notarization

2. Block malware from running on customer systems: Gatekeeper, Notarization, and XProtect

3. Remediate malware that has executed: XProtect

The first layer of defense is designed to inhibit the distribution of malware, and prevent it from launching even once—this is the goal of the App Store, and Gatekeeper combined with Notarization.

The next layer of defense is to help ensure that if malware appears on any Mac, it’s quickly identified and blocked, both to halt spread and to remediate the Mac systems it’s already gained a foothold on. XProtect adds to this defense, along with Gatekeeper and Notarization.

Finally, XProtect acts to remediate malware that has managed to successfully execute.

These protections, further described below, combine to support best-practice protection from viruses and malware. There are additional protections, particularly on a Mac with Apple silicon, to limit the potential damage of malware that does manage to execute. See Protecting app access to user data for ways that macOS can help protect user data from malware, and Operating system integrity for ways macOS can limit the actions malware can take on the system.


3つの防御の層

マルウェアの防御は、3つのレイヤーで構成されています。

1. マルウェアの起動や実行を防止する。App Store、またはGatekeeperとNotarizationの組み合わせ。

2. マルウェアがお客様のシステム上で実行されないようにする。Gatekeeper、Notarization、XProtectの3つ。

3. 実行されたマルウェアの駆除 XProtect

第一の防御層は、マルウェアの流通を抑制し、一度も起動させないようにすることです。

次の防御の層は、マルウェアがMac上に出現した場合、迅速に特定しブロックすることで、マルウェアの拡散を食い止めるとともに、すでに感染しているMacシステムの修復を支援することです。XProtectは、Gatekeeper、Notarizationとともに、この防御に貢献します。

さらにXProtectは、実行に成功したマルウェアを修復する機能も備えています。

これらの保護は、以下に述べるように、ウイルスやマルウェアからのベストプラクティスをサポートするものである。特にApple社のシリコンを搭載したMacでは、マルウェアが実行された場合の被害を最小限に抑えるために、さらなる保護が施されています。macOS がマルウェアからユーザデータを保護する方法については、ユーザデータへのアプリケーションアクセスの保護、および macOS がシステム上でマルウェアが実行できるアクションを制限する方法については、オペレーティングシステムの完全性を参照してください。

XProtect

macOS includes built-in antivirus technology called XProtect for the signature-based detection and removal of malware. The system uses YARA signatures, a tool used to conduct signature-based detection of malware, which Apple updates regularly. Apple monitors for new malware infections and strains, and updates signatures automatically—independent from system updates—to help defend a Mac from malware infections. XProtect automatically detects and blocks the execution of known malware. In macOS 10.15 or later, XProtect checks for known malicious content whenever:

macOSには、シグネチャベースのマルウェア検出・駆除を行うXProtectと呼ばれるアンチウイルス技術が組み込まれています。このシステムには、Appleが定期的に更新するマルウェアのシグネチャベースの検出を行うためのツールであるYARAシグネチャが使用されています。Appleは、新しいマルウェアの感染や系統を監視し、システムアップデートとは別にシグネチャを自動的に更新することで、マルウェア感染からMacを守ることができます。XProtectは、既知のマルウェアを自動的に検出し、その実行をブロックします。macOS 10.15以降では、XProtectは常に既知の悪意のあるコンテンツをチェックします。

Notarization

Notarization is a malware scanning service provided by Apple. Developers who want to distribute apps for macOS outside the App Store submit their apps for scanning as part of the distribution process. Apple scans this software for known malware and, if none is found, issues a Notarization ticket. Typically, developers staple this ticket to their app so Gatekeeper can verify and launch the app, even offline.

Apple can also issue a revocation ticket for apps known to be malicious—even if they’ve been previously notarized. macOS regularly checks for new revocation tickets so that Gatekeeper has the latest information and can block launch of such files. This process can very quickly block malicious apps because updates happen in the background much more frequently than even the background updates that push new XProtect signatures. In addition, this protection can be applied to both apps that have been previously and those that haven’t.

Notarizationは、Appleが提供するマルウェアスキャンサービスです。App Store以外でmacOS用アプリケーションを配布したいデベロッパは、配布プロセスの一環として、アプリケーションをスキャン対象として提出します。Appleはこのソフトウェアに既知のマルウェアがないかスキャンし、何も検出されなかった場合はNotarizationチケットを発行します。通常、開発者はこのチケットをアプリにホチキスで留め、Gatekeeperがオフラインでもアプリを検証して起動できるようにします。

またAppleは、悪質であることが判明しているアプリに対して、たとえ以前に公証済みであったとしても、取り消しチケットを発行することができる。macOSは定期的に新しい取り消しチケットをチェックし、Gatekeeperが最新の情報を把握して、こうしたファイルの起動をブロックできるようにしている。このプロセスは、XProtectの新しい署名をプッシュするバックグラウンド・アップデートよりもはるかに頻繁に更新が行われるため、悪意のあるアプリケーションを非常に迅速にブロックすることができます。さらに、この保護機能は、過去に利用したことのあるアプリとそうでないアプリの両方に適用することができる。

Gatekeeper

macOS includes a security technology called Gatekeeper, which is designed to help ensure that only trusted software runs on a user’s Mac. When a user downloads and opens an app, a plug-in, or an installer package from outside the App Store, Gatekeeper verifies that the software is from an identified developer, is notarized by Apple to be free of known malicious content, and hasn’t been altered. Gatekeeper also requests user approval before opening downloaded software for the first time to make sure the user hasn’t been tricked into running executable code they believed to simply be a data file.

macOSにはGatekeeperと呼ばれるセキュリティ技術が搭載されており、ユーザーのMac上で信頼できるソフトウェアのみを実行できるようにするためのものです。ユーザーがApp Store以外のアプリケーション、プラグイン、インストーラパッケージをダウンロードして開くと、Gatekeeperは、そのソフトウェアが特定のデベロッパによるものか、既知の悪意のあるコンテンツが含まれていないことをAppleが公証し、改ざんされていないことを確認します。また、Gatekeeperは、ダウンロードしたソフトウェアを初めて開く前にユーザーの承認を求め、ユーザーが単なるデータファイルと信じていた実行コードを実行させられていないことを確認する。