CotEditor 6.20がリリースされました。
前バージョンから14箇所ほど変更点が見られますが、すべて説明文の内容であり機能が追加されたり変更されていることはありません。
カテゴリー: news
「AppleScriptセキュリティ実践ガイド」を発売
電子書籍の新刊を発売しました。「AppleScriptセキュリティ実践ガイド」です。PDF 562ページ、サンプルAppleScriptのZipアーカイブを添付。
→ 販売ページ
macOS上の各種機能を自由に呼び出せて、GUIベースのアプリの機能や情報を呼び出せる強力なAppleScriptは、ソースコードが読めない実行専用形式で、Scriptやアプレットとして公開可能です。
しかし、「暗号化済み」のように見える「実行専用形式」で保存されていたとしても、実際にはApple Events Codeという命令列の形で格納されており、文字列に関してはターミナル上でhexdumpやstringsコマンドによるダンプ出力が可能です。
さらに、昨今ではApple Events Codeそのものをダンプ(=内部の命令構造を可視化)するツールが登場。防衛用のツールですが、攻撃側もこれを利用できる状態にあります。
本書では、Apple Events Codeのダンプツールによってどのような情報が「抜かれ」、それらが実際にどのように見えるのかを詳細に検証しています。
実行専用のScript/アプレットで書き出した内容をダンプ(Apple Events Codeのダンプ)するapplescript-disassemblerと、その出力内容を読みやすく整形するaevt-decompileを用いて、さらにそれらを統合して使いやすくした統合ダンプツールをAppleScriptで開発。
対象フォルダ中のAppleScript書類を実行専用形式で書き出し、ダンプツールで解析して結果をテキスト書き出し……という作業フローを一括で行います。これを、さまざまな構造の複雑さを備えたテスト用AppleScriptに対して、さまざまなデータ型のデータを記述してどの程度漏洩するのか、しないのかを確認しています。
また、すべてのAppleScript予約語を含むサンプルScriptを作成し、個別にどのようにApple Events Codeにダンプされるかを掲載しています。
その上で、想定されるリスクと防止策を提示し、AppleScriptを安全に活用するための基礎資料としてご活用ください。
目次
1章 「実行専用」は安全なのか?
AppleScriptの概要と機能のひろがり/実行プログラムのひろがり/システム設定による機能制限/ヘックスダンプや文字ダンプで得られる情報/Apple Events関連の参考資料/コラム 本書掲載のAppleScriptリストの構文色分け設定について
2章 AppleScriptアプレットの構造
スクリプトエディタでアプレットを作成/書き出したアプレットの内部構造を追う/クラシックOS時代のアプレットのscptリソースの内容と比較
3章 Apple Eventダンプによる情報抽出
アップルスクリプトの完全なデコンパイルは無理/あくまでApple Events Codeとして解釈して読みやすくする/applescript-disassembler/aevt_decompile/統合分析ツールas_disassem+decompile/strings/hexdump
4章 実行専用スクリプトから漏れる情報の実態
Apple Events Code上で各データ型がどう見えるか?/プログラムの複雑さを変更して結果を調べる/アルファベット+数字/日本語の文字列/絵文字の文字列/真偽値/整数値/実数値/dateオブジェクト/数値のリスト(配列)/文字列のリスト(配列)/レコード/アプリケーションのオブジェクト/Xcodeで開発したAppleScrIptObjCアプリ
5章 情報漏洩をふせぐ技術的手法
安直なダンプで見えない形式でユーザー名やパスワードを記述/キーチェーンに情報を保存して内容を取り出すにしてもアクセス用キーワードは必要/データ暗号化の基礎①シフト暗号/データ暗号化の基礎②暗号表による換字式暗号/データ暗号化の基礎③多表式暗号と鍵のしくみ(ヴィジュネル暗号)/データ暗号化の基礎④「鍵」をさらに安全・自動的に扱う仕組みをもつOpenSSLによる現代暗号/プログラム難読化①データ形式変更/プログラム難読化②変数名絵文字置換/プログラム難読化③構造高度化
6章 安全な配布のための設計指針
アップルスクリプトの配布形態とかけられる労力の違い/配布時に最低限でもコード署名が必要。そのために開発者登録も必須/習熟のために経験しておきたいアプレットのオンライン配布
7章 AppleScriptのセキュリティ再考
最近発生したAppleScriptがらみの諸問題はメモリリーク/ユーザー名やパスワード、APIキーをスクリプト内に平文で記録すると危険/かつては可能だったアプリとAppleScript間の通信傍受もいまや不可能に/ネットワーク経由の操作は、途中で傍受される危険性も/AppleScript実行ツールで、埋め込みテキストのスクリプトを設定ファイルに平文保存?
8章 Apple Events Codeダンプ分析資料
全予約語を含む記述例を実行専用状態でApple Events Codeダンプ
9章 ダンプ結果から見る情報露出傾向と対策
コマンド、記述方法、データ型から読み解く露出傾向/script objectによるダンプ対策が有効/「OSAMiner事件」から再考されたAppleScript環境におけるセキュリティ対策/コラム 本書作成のために作成・使用したAppleScript
macOS 26.1が登場。Finderのバグが直らない?
macOS 26.1がリリースされ、macOS 26.0で発生していたFinderまわりのバグが、一応修正されたような形跡もあるのですが、結論からいえば別のエラーが出るようになりました。
macOS 26.0:
ゴミ箱に何も入っていない状態で、AppleScriptからFinderに「empty trash」を実行すると、タイムアウト時間(180秒)まで待ってタイムアウトエラーに。
macOS 26.1、26.2:
ゴミ箱に何も入っていない状態で、AppleScriptからFinderに「empty trash」を実行すると、時間待ちしないでエラーに。
一応、empty trashをtry〜end tryで囲っておけば、ゴミ箱が空の場合に発生するエラーを回避できます。
| AppleScript名:empty trash test 2.scpt |
| tell application "Finder" try empty trash end try end tell |
日本のMac App StoreにEntanglerがカムバックしていた。が……
iOSデバイス(iPhone/iPad)からMac上のAppleScriptを実行するアプリには、
EventScript(LAN/WLANを介して実行)
Entangler(iCloudを経由して遠隔実行)
の2つがあるのですが、Entanglerについては日本のMac App Storeからしばらく消えていました。
このため、各種電子書籍でもentanglerの紹介については差し止めていました。海外のMac App Storeに出ているのは確認していたのですが、日本のMac App Storeで入手できないのでは紹介できません。
久しぶりにMac App Storeでいろいろ確認作業を行なっていたところ(AppleScriptでキーワード検索する程度のかんたんな作業)、Entanglerを見つけることができました。
これらのアプリには、
EventScripts:Keynoteのスライドめくりなど、割と応答速度が求められるような操作
Entangler:外出先から部屋の様子を撮影してメッセージで返すなど、リアルタイム性がシビアに求められないが、遠くから実行することに意義のある操作
といった「棲み分け」が発生しており、両方が存在する意義があると思っています。
……と、ここまでなら「心あたたまるニュース」であったのですが、Mac App Store上のリンクURLのリンク先(http://andymolloy.net/Entangler/)が応答不能(No Response)になっており、ちょっと心配です。
https://www.entanglerapp.com も、中華系のサイトが表示されるなど、きな臭い印象です。
ドメイン失効時にドメイン占有業者に乗っ取られたと見るべきでしょうか。ただ、これまで日本のMac App Storeに出ていなかったこのアプリが復帰した経緯がよくわかりません。
今後も、行方を注目しておくべきでしょう。
Adobe InDesignのAppleScript実行エンジンがCarbonからCocoaベースに書き換えられる
最新のAdobe InDesignにおいて、AppleScriptの実行エンジンが従来のCarbonベースのものから、Cocoaベースのものに置き換えられるという情報が入ってきました。
実行エンジンの切り替えにともない、利用できる各種機能に変更点があるかどうかは未確認です。
従来のAdobe InDesignのAppleScript実行エンジンはCocoa系の機能実行に関しては最強レベルのものが搭載されており、Script Debugger並みのユーザーディレクトリ下のFramework呼び出しをはじめ、最強クラスの実行エンジンが搭載されていました。
通常のAppleScript実行はもちろんのこと、幅広い対応を行なっていたCocoa Scripting機能対応が、どの程度新エンジンに継承されているかがみどころです。評価できるといいのに。
Claris FileMaker Pro 2025(v22)がリリースされた
Appleの子会社であるClarisから、Claris FileMaker Pro 2025(v22)がリリースされました。
| AppleScript名:Claris FileMaker Pro 2025のバージョン番号取得.scpt |
| tell application "FileMaker Pro" version –> "22.0.1" end tell |
AppleScript用語辞書は前バージョンから変更されていません。
Script Debuggerがフリーダウンロードで提供されることに
2025年1月1日に製品開発の終了を宣言した、AppleScriptの統合開発環境「Script Debugger」について、Late Night Software, ltd.のWebサイトからダウンロードできるようになりました。
過去の各バージョンのScript Debugger(v4、v4.5、v5、v6、v7、v8)をダウンロードでき、Registration Numberが記載されています。
ただし、As Isで提供されるものであり、サポートや新たに発見されたバグについては免責とされています。
macOS 26, Tahoe
バージョン番号のリナンバーが行われ、macOS 15の次はmacOS 26ということになりました。AppleScriptで「system info」を実行すると、 system version:”26.0″が返ってきます。
スクリプトエディタのバージョンは上がっていませんが、Dark Modeへの対応が行われており、エディタ背景がDark Modeで暗くなるようです。ウィンドウの角丸の半径が大きくなって、全体的にオモチャみたいな印象を受けます。個人的に嫌いではないですが、画面を広く使えない(余白が多い)ので現場によっては困ることも。
AppleScriptのバージョンは2.8で変更なし。まだそんなに真剣に使っていないので、AppleScriptから見て挙動が変わったかといった点はわかりません。
β版のmacOSでありがちな、バージョン取得機能ミスや、aliasからPOSIX pathへの変換ミスなどは見られませんでした。
ただ、WWDC Keynoteで見られたガラス調のUIの見た目については、現時点では見られず、これがまだ実装が間に合っていないためなのか、M1 Mac miniだと環境的に再現しないのかは不明です。
テキスト読み上げ音声系のVoice Characterが増えたりはしていないのですが、「プレミアム」と「拡張」が同時に存在しているなど、ポリシーにゆらぎが見えます。どちらかにするのではないんですね。
バグ:
スクリプトエディタ内からスクリプトメニューをオンに設定しても、ステータスメニュー上にスクリプトメニューが表示されません。すぐにオフになります。この点はバグでしょう(調査が始まったとの話)。
→ 本件はリリース版で修正ずみです(βで修正されていました)
Xcode 26でAppleScript App templateが認識されませんでした。関係者に報告していますが、回答はもらっていません。一応、既存のXcode ProjectをmacOS 26に持って行って、ビルド+実行できることは確認しています。テンプレートの場所や記法が変わったのかも?
→ Xcodeのテンプレートのフォルダが変更になったようです。従来は、~/Library/Xcode/Templatesでしたが、Xcode 26では~/Library/Developer/Xcode/Templates に変わっていました(ドキュメントとかヘルプに記載なし)。
→ 関係者との協議のすえ、これは自分の勘違いで最初から ~/Library/Developer/Xcode/Templates であったことが判明しました。
リリース版のmacOS 26で試したところ、従来どおりの組み方ではStatus Menu Itemを作成するAppleScriptがうまく動作していません。バグなのか、仕様変更なのかは不明です。
■FinderのBug
Michael Tsai氏がX上に投稿しているのを見つけましたが、Finder上でゴミ箱が空の状態で、empty trashを実行するとFinderが応答せず、タイムアウトエラーになるというFinderのバグが確認されています。
自分も、同じ内容をmacOS 26.1βの日本語環境で再現することを確認しました。
Apple、macOS 16でクリップボードへのアクセスを制限
AppleがmacOS 16でクリップボードへのアクセスをiOSアプリ同様に制限する(認証を求める?)らしい、という話が出てきました。
Apple、Macアプリによるクリップボードの無断アクセスを制限へ
それだけなら、「なるほど」という話になるのですが、例によって検証をまともに行わないことが予想されるために、アプリ/アプレットのアイコンへのドラッグ&ドロップや、「サービス」を提供するプログラムにGUIがない場合に影響が出てくることでしょう(認証はGUIを持つプログラムに対してのみ行えるため)。
# 「サービス」機能は各アプリでメンテナンスしていないはずなので、対応せずに全滅するかも?
これは、相当に広い範囲にわたって影響が出るはずなので、問題動作がいたるところで発生することが予想されます。
各AppleScript実行プログラムに対してセキュリティ設定を行わないと、ファイルのドラッグ&ドロップやクリップボードの操作コマンドに問題が出るはずです。
macOS 15.5beta5(24F74)でaliasのキャスティングバグが修正された???
macOS 15.5beta5(24F74)が配信されたので、報告済みのバグが修正されているかを確認しました。
日本語環境で特定パターンのファイル名のファイルパスをas aliasでキャストすると処理系まるごとクラッシュするバグ
→ 修正されたように見えます。報告したファイル名パターンで追試したものの、クラッシュは確認されません。
ただ、Appleの傾向として「一度直った箇所が、複数チーム間の連携不足(絶無?)ですぐに再発」するので、経過観察といったところでしょうか。これまでに発生した(つまらない)バグ同様、何回も繰り返して発生することが予想されます。
アクセシビリティ系の音声コマンドの一覧が呼び出せないバグは、本バージョンでは修正されていません。
Notebook LMを用いてPiyomaru Softwareの電子書籍からPodcast生成した音声番組例
GoogleのオンラインサービスNotebook LMを用いて、自分の書いた電子書籍を入力して、そのまとめ音声番組を生成させてみました。
すごっ!!(^ーー^;;;;;
Notebook LM自体に「アップロードするファイルは200MBまで」「アップロードできるのは全部で50本まで」という(無料使用時の)制限があるため、その範囲内での試用ということになります。
音声番組を手軽にアウトプットしてくれることに驚かされます。また、細かいところではちょっと間違いがあるものの、テーマを与えるとおおまかに「それっぽく」まとめてくれるのは驚きです。しかも、機械音声読み上げ(Text To Speech)なのにおっそろしくこなれています。
全体の印象としては、NHKの朝のニュースの5分ぐらいのコーナーのイメージでしょうか。
macOS 15.5beta4で報告済みのバグ何も直らず
macOS 15.5beta4が配信されましたが、とくに報告ずみのバグは何も直っていません。15.5台では直らないというよりも、バグとして認識していないんじゃないでしょうか?
正式リリースされたようですが、アクセシビリティの音声コマンドが動作していないバグについては、修正されていません。
macOS 15.5betaでアクセシビリティの音声コマンドが動作せず
macOS 15の初期バージョンでは動作することを確認していたのですが、目下macOS 15.5beta3でアクセシビリティ系の音声コマンドの機能が呼び出せないことを確認しています。
同機能は、日本語のファイル名をつけたAppleScriptアプレットを音声で呼び出せるため、音声操作が必要な用途では役立つものとして機能をチェックしてきました。ただ、Appleのワイヤレスヘッドセットのうち、AirPodsは音声認識に使えるもののAirPods Proが音声認識に使えなかったりと、ちょっと微妙な立ち位置になっていました。
AirPods/AirPods Proが使えるSiri系の操作機能と、この音声コマンドの2系統の音声操作機能が存在しており、統合するのかそのままなのか、さっぱり方向性が見えていない中のできごと。
アクセシビリティの機能が「システム設定」に存在しているのですが、画面上から内容を確認しようとするとエラーになります。
この問題は、日本語環境でも英語環境でも発生しています。
▲システム設定の「アクセシビリティ」>「音声コントロール」を選択
▲画面下の方の「Commands…」で音声コマンドの一覧を確認しようとして、クリックすると
▲エラーが出て表示されない
【続報】macOS 15.5で特定ファイル名パターンのfileをaliasにcastすると100%クラッシュするバグ
特定のパターンのファイル名のパスをaliasにcastする処理で処理系まるごとクラッシュするというmacOS 15.5β版(15.5 Beta(24F5053f))のバグ。
もっと以前から存在していたのかもしれませんが、特定のファイル名だとクラッシュを引き起こす前代未聞のバグがすごすぎて、いろいろ調べてみました。
文字依存する箇所はごくわずかで、いろいろ規則性があることがわかってきました。
・15.5 Beta(24F5053f)の日本語ユーザー環境(Primary LanguageをJapaneseにした状態)で発生。英語環境に変更すると発生しない
・ファイルパスをaliasにcastすると即・クラッシュ
・アルファベットとひらがな/カタカナが混在している必要がある???
・拡張子の種別は関係なく発生
・一定の文字数以上の長さが必要
・決定的な問題を引き起こすのは、濁点/半濁点つきのひらがな/カタカナが入っていること
・当初、記号文字やスペースが入っていることが条件かと思っていたが、これらを除去しても発生
・濁点/半濁点つき文字はファイル名の特定文字数以降に登場する必要がある。冒頭に移動させてもクラッシュは発生しない
・同じ処理内容のJXAでもクラッシュが発生する
・これらのクラッシュを誘発するファイル名がフォルダ名についていてもクラッシュは発生しない
現時点でクラッシュを発生させる最低限のファイル名は、
AAXAAXXあああああああああパ1.txt
であることを確認しています。
追記:
macOS 15.5β3(24F5053j)でも継続して発生中です。
追記:
macOS 15.5正式リリース時には解消されました。
AppleScript Dropletのバグっぽい動作が「復活」(macOS 15.5β)
ファイルのドラッグ&ドロップを受け付ける「ドロップレット」の異常動作がmacOS 10.12からずっと続いてきました。AppleScriptドロップレットに対して(Finderから)ファイルをドラッグ&ドロップすると、欠落するものが出てくるという現象です。
昨年、macOS 15.2betaか15.1あたりでこのバグが解消されたように見えました。
「見えました」というのは、一応現象としては観測できつつも、その動作を意図して実現していないんじゃないか、という懸念があったためです。つまり、Appleの現場なりマネージャー級で意思決定が行われた成果ではなさそうだ、と判定。
この動作がmacOS 15.5βで以前と同様の動作に戻っている(バグ的な動作)ことを観測しています。
on open droppedFiles
set fileCount to count of droppedFiles
display dialog “ドロップされたファイルの数: ” & fileCount buttons {“OK”} default button 1
end open
一応、ドラッグ&ドロップされたファイル/フォルダの受付で取りこぼしが出ないように対策は(Scripter側で工夫して)できているのですが、上記のように一般に知られている単純な受信コードでは対処できません。
ChatGPTをはじめとするLLMでは、上記のような単純なコードを出力することを確認しています。そして、Apple側がOSに不具合を発生させた場合にはLLMが出力するコードでは対処できません。
そして、macOSのヘルプメニューから表示できる「AppleScriptヘルプ」に書かれているドロップレットのコードがまともに動かないというのでは、話になりません。
iWork Appsがバージョン14.4にアップデート
iWork Apps(Keynote、Pages、Numbers)がバージョン14.4にアップデートしました。各アプリのAppleScript用語辞書に変更はありません。
Pagesで継続して発生している、現在画面上で表示中のページ+2見開きのページ上のオブジェクト情報の取得/操作が行えない現象については、修正されていません。
Apple側はこれをバグとも思っていないようですし、修正するつもりもないのでしょう。この不具合に対処するために、情報取得する対象のページを強制的に表示するよう指示する必要があることでしょう(そんな機能はないので、GUI Scriptingで?)。
Pages書類の各ページ上の表の座標を求めると、正しい値が返らない
AppleScript Explored 最新OS&Xcode対応 日本語版?
個人的な資料として、Shane Stanleyの電子書籍「AppleScript Explored」を日本語訳して使っておりました。部分的にmacOS最新版+Xcode最新版にスクリーンキャプチャを入れ替えて。
▲あくまで自分用の私的な資料として作成した日本語版
▲自分用だったので、装飾のたぐいはほとんどなし
▲いつもの感じでレイアウトを作るとこんな感じ?
最初の版から、購入して読んでいましたが……実にいい本です。「もうちょっと画面キャプチャが多いとわかりやすいのに」とは思っていましたが、自分には書けないタイプの本です。
# そのフィードバックをもとに、画面キャプチャ主体の本「AppleScript+XcodeでつくるMacアプリ Xcode 14対応」を出したわけで
冗談半分でShaneに「日本語訳版を出してもいい?」と聞いてみたところ、快諾。えっ? いいの?!(^ー^;;;
いまXcodeで作っているAppleScriptのプロジェクトがあるのですが、こうした資料が充実していないと本当に辛いので、日本語版を出せることは個人的に素直に嬉しいです。
ただ、本書がOS X 10.8ぐらいの時代に書かれたという時代背景があり、そのあたりの状況認識を大幅に変更する必要はあると思います。当時はShaneがAppleScriptObjC Explorerを作っていたので、そうしたツールの存在を前提として書かれた部分もあるので、macOS 15時代+Xcode 16環境に合わせてアップデートする必要もあることでしょう。
電子書籍を2冊刊行
相次いで、AppleScriptに関する電子書籍を2冊刊行しました。
AppleScript最新リファレンス v2.8対応 v2.0
「AppleScript最新リファレンス OS X 10.11対応」から最新環境の情報を反映させ、さらにmacOS 15の情報を反映させた最新アップデート版です。最新のAppleScript v2.8環境を対象としています。
→ 販売ページ
macOS搭載のApple純正GUIアプリケーション操作用スクリプト言語「AppleScript」について、スクリプトの書き方、基本的な文法から高度なノウハウまで紹介する最新のリファレンス! macOS 12/13/14/15対応
90ページの記事を追加しました。すでに購入された方は、再ダウンロードにより無料で最新版を入手できます。
本書および「スクリプトエディタScripting Book with AppleScript」には、お待たせの(?)Piyomaru Script Assistant最新版を添付しています。
PDF 1,098ページ+付録Zipアーカイブ
スクリプトエディタScripting Book with AppleScript
macOS上のスクリプティング言語「AppleScript」によって、macOS標準装備のAppleScript記述用アプリ「スクリプトエディタ」を操作するノウハウについて基礎から応用までを詳細にまとめた電子書籍です。
→ 販売ページ
AppleScriptの中でも、超高レベルな内容であり、この内容が苦もなく理解できたら達人と言って問題ないでしょう。ただし、基礎から詳細に解説を行なっているため、難しい内容については読み飛ばしていただいてもけっこうです。それでも、日々のMac生活の中で役立つ超絶テクニックを感じることができるでしょう。 PDF 570ページ、Zipアーカイブ添付
これまであまり外部に出してこなかった、AppleScriptでAppleScriptを解析して処理する内容や、AppleScript用語辞書を解析して処理する内容、スクリプトアシスタントの書き方などの「秘伝のタレ」的な内容を多く含んでいます。
とくに、AppleScript構文色分け設定から実際のAppleScriptの各構文要素を特定して処理(変数のみの置換など)する内容は、Mac OS X 10.4の時代から続いてきた手法から最新の手法まで詳細にご紹介しています。
Script Debuggerのかわり、別のものを考える
Script Debuggerという強力なプレイヤーがいるために、スクリプト作成のためのツールを企画しても製品を実現するのは大変でした。でも、SDがディスコンになると、従来いろいろ検討してきたアイデアを実現できるかもしれません。
タイプ1:Automatorのようにブロック部品をつなぐ記述アプリ
大量にAutomatorのアクションを用意して、つないでプログラムを組む環境を作ることを考えたことがありました。Automatorそのものに突っ込んでよかったのですが、Apple純正のアクションを削除する方法がわからなかったのと、一般ユーザーがAutomatorを2つぐらいのアクションしかつないで使っていないことが分かって、ちょっと難しそうだと判断しました。
タイプ2:記述支援機能マシマシなエディタ
コンテクストメニュー経由で大量の補助Scriptを呼び出すエディタタイプを企画していました。ただ、それって普通にスクリプトエディタに組み込めばいいじゃない? ということで、Piyomaruスクリプトアシスタントを充実させました。
タイプ3:テキストでやりたいことを入力するとコードを入力するエディタ
ChatGPTみたいに、文章からコードを生成するエディタ。ありもののScriptライブラリを呼び出すタイプ。
LLMに各プログラムをどのように学習させられるかが不明。アイデアだけは検討してきた内容。