The Hacker Newsは1月17日(米国時間)、「Apple Removes macOS Feature That Allowed Apps to Bypass Firewall Security」において、AppleがmacOS 11.2ベータ2から「ContentFilterExclusionList」と呼ばれるリストと、このリストを利用したファイアウォール回避機能を削除したと伝えた。

ContentFilterExclusionListはmacOS Big Sur(macOS 11)から追加されたもので、App StoreやiCloudやMapsといった50以上のApple純正のアプリケーションやソフトウェアアップデートサービスがリストアップされている。このリストのアプリは、サードパーティのファイアウォールやVPN、コンテンツフィルタなどを独自に回避できる状態になっており、セキュリティ上の問題が指摘されていた。

Big Surではサードパーティのカーネル拡張が非推奨に指定されており、これに伴ってセキュリティ製品がネットワーク・トラフィックを監視するためのネットワークカーネル拡張も非推奨となった。Appleではサードパーティのセキュリティ製品を引き続きサポートするために代替となるユーザーモードのネットワーク拡張フレームワークを導入したが、この拡張フレームワークを利用した製品では、ContentFilterExclusionListに掲載されたアプリのパケットをフィルタリングやブロックできないようになっていた。

  • macOS 11.1のContentFilterExclusionList

    macOS 11.1のContentFilterExclusionList

Big Surのリリース時、AppleからContentFilterExclusionListに関する言及はなく、リリース後にセキュリティ研究者などによって存在が明らかにされた。後のAppleの説明では、このリストは一部のApple製アプリのバグに対応するための一時的な処置であり、将来的には削除される予定とのことだった。

Appleの説明通りであれば、macOS 11.2ベータ2でこれらのバグの修正が完了し、ContentFilterExclusionListが不要になったということだろう。macOS 11.2が正式にリリースされれば、リストに掲載されていたアプリに対しても、サードパーティのセキュリティ製品でフィルタリングやブロックが正しく機能するようになる。