【ITニュース解説】The Anatomy of a Mach-O: Structure, Code Signing, and PAC

Mach-OはmacOSやiOSといったApple製品のオペレーティングシステム（OS）が、プログラムを実行するために用いる特別なファイル形式である。Windowsの実行ファイルがPE形式、LinuxのそれがELF形式と呼ばれるのと同様に、Apple系のOSではMach-O形式が採用されている。この形式によって、OSはプログラムのどこに実行すべき命令があり、どこにデータが格納されているかなどを正確に把握し、適切にメモリに読み込んで実行できるのだ。

Mach-Oファイルは大きく分けていくつかの部分から構成される。その最初の部分が「Mach-Oヘッダ」である。これはファイル全体の概要を示す部分で、このファイルがMach-O形式であること、どのようなCPUアーキテクチャ（例えばIntelのx86-64やApple SiliconのARM64など）向けに作られたプログラムであるか、そしてファイルが何ビット（32ビットか64ビットか）であるかといった基本的な情報が記述されている。これはプログラムの「身分証明書」のようなもので、OSはまずここを読んで、このファイルをどのように扱うべきか判断する。

ヘッダの次に続くのが「ロードコマンド」と呼ばれる部分である。これはOSがプログラムをメモリに読み込み、実行を開始するまでの手順書のような役割を果たす。具体的には、プログラムのどの部分をメモリ上のどこに配置すべきか、どれくらいのメモリを確保すべきか、どの外部ライブラリ（例えばシステムに組み込まれた共通の機能を提供するライブラリなど）を読み込む必要があるか、といった細かな指示が羅列されている。このロードコマンドには様々な種類があり、例えばプログラムのコードやデータが格納されている領域を定義するセグメントロードコマンドや、動的にリンクする共有ライブラリの情報を指定するコマンドなどが含まれる。

ロードコマンドで定義される「セグメント」は、プログラムを構成する論理的な塊である。一般的なプログラムでは、主に「__TEXT」セグメントと「__DATA」セグメントが存在する。「__TEXT」セグメントには、CPUが実際に実行する機械語の命令コードや、プログラム内で使用される定数などが格納される。この領域は通常、書き換えができないように保護されており、複数のプログラムが同じコードを共有できるようになっている。「__DATA」セグメントには、プログラムの実行中に値が変化する変数などのデータが格納される。この領域は読み書きが可能である。さらに細かく見ると、これらのセグメントは「セクション」と呼ばれるさらに小さな単位に分割されている。例えば「__TEXT」セグメント内には実際の実行コードが置かれる「__text」セクションや、他の関数を呼び出すための補助的なコードが置かれる「__stubs」セクションなどが存在する。同様に「__DATA」セグメント内には初期値を持つ変数を格納する「__data」セクションや、初期値を持たない変数を格納する「__bss」セクションなどがある。これらのセグメントやセクションの情報は全てロードコマンドの一部としてMach-Oファイル内に記述されている。

次に、Mach-Oファイルに組み込まれる重要なセキュリティ機能の一つである「コード署名」について解説する。現代のOSでは、不正なプログラムや改ざんされたプログラムが実行されるのを防ぐため、厳重なセキュリティ対策が施されている。その中心的な役割を担うのがコード署名である。プログラムを開発した開発者は、自分のプログラムに「電子的な印鑑」を押すような形で署名を行う。この署名には、開発者の身元を証明する「開発者証明書」と、プログラムの内容が改ざんされていないことを検証するための「ハッシュ値」（プログラムの内容を要約した一意のデータ）が使われる。

OSはプログラムを実行する際に、この署名が有効であるかを検証する。具体的には、まずプログラムの内容からハッシュ値を計算し、ファイル内に保存されている署名内のハッシュ値と一致するかを確認する。もし一致しなければ、プログラムが何者かによって改ざんされたと判断し、実行を拒否する。また、署名に使われた開発者証明書が信頼できる機関によって発行されたものであり、有効期限内であるか、取り消されていないかといった点も確認する。これにより、ユーザーはOSが署名を検証したプログラムは、信頼できる開発者によって作られ、かつ改ざんされていない安全なものであると判断できる。Mach-Oファイル内では、このコード署名に関する情報も特別なロードコマンドとして記述され、OSが容易に検証できるように工夫されている。

最後に「PAC（Pointer Authentication Code）」について説明する。これは比較的新しい技術であり、特にApple Siliconなどの最新のARMアーキテクチャ（AArch64）で採用されている、より高度なセキュリティ対策である。プログラムが動作する際、メモリ上の特定の場所を指し示す「ポインタ」というものが頻繁に使われる。例えば、次に実行すべき命令のアドレスや、特定のデータが格納されているアドレスなどをポインタが指し示している。

しかし、悪意のある攻撃者はこのポインタの値を不正に書き換え、プログラムの実行フローを乗っ取ろうとすることがある。これにより、本来実行されるべきではない悪質なコードが実行されたり、機密データが盗まれたりする危険性がある。こうした攻撃を防ぐために導入されたのがPACである。PACは、ポインタの値そのものに「認証コード」と呼ばれる小さな追加情報を埋め込む仕組みである。ポインタを使用する際には、そのポインタに埋め込まれた認証コードが正しいかをハードウェアレベルで検証する。

具体的には、ポインタをメモリに格納する際や、レジスタにロードする際に、専用のCPU命令によって認証コードを計算し、ポインタの上位ビット（通常使われない部分）に埋め込む。そして、そのポインタを使って実際にメモリにアクセスしたり、実行フローを制御したりする際には、別のCPU命令によって認証コードを抽出し、再度計算されたコードと比較する。もし計算されたコードと埋め込まれていたコードが一致しなければ、そのポインタは改ざんされたと判断され、プログラムの実行が停止される。これにより、ポインタ改ざんによるセキュリティ脆弱性を大幅に低減できるのだ。Mach-Oファイルは、プログラムがPACを有効にしてビルドされているかどうかを示す情報も含むことができ、OSはこの情報に基づいてPACによる保護を適用するかどうかを判断する。

このように、Mach-Oファイルは単なるプログラムの実行データだけでなく、その構造、信頼性を保証するコード署名、そして実行時のセキュリティを強化するPACといった多様な情報を統合している。システムエンジニアを目指す上で、このような実行ファイルの内部構造を理解することは、OSがどのようにプログラムを動かし、どのように安全性を確保しているかを知るための重要な第一歩となる。