2026-04-30 の一覧へ戻るホーム
Apple Silicon を搭載した Mac における仮想化は、異なる仕様となります。

2026/04/30 1:51

Apple Silicon を搭載した Mac における仮想化は、異なる仕様となります。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

Apple は Apple Silicon に搭載された macOS に、ハイパーバイザーと Virtio ドライバーをネイティブに統合しており、VMware や Parallels などのサードパーティ製ソリューションなしで高パフォーマンスの仮想マシンを実行可能にしています。macOS Monterey(ホストおよびゲストともに)からのリリース以降、システムは Arm ハードウェア拡張機能と Metal を活用して効率的な I/O アブストラクションを実現し、ほぼホスト並みのパフォーマンスを達成しています:CPU のシングルコア性能については、VM 内での全体的なパフォーマンスがホストよりも約 9% 速く、マルチコア性能についてはやや低いものの依然として著しく向上しており、GPU Metal 性能についてはホストより約 8% 遅れています。特筆すべきは、ホストの効率化コア上で動作するタスクであっても VM 内ですらさらに高速に実行可能で、ハイブリッドプロセッシングアーキテクチャに対する大幅な最適化が示されています。Rosetta 2 は VM 内で機能し、macOS Catalina と互換性のある 64 ビット Intel アプリを翻訳しますが、それより古いものや 32 ビットアプリは対象外です。

主要機能は経時的に進化してきました:VM 内での iCloud および iCloud Drive のアクセスには、ホストもゲストも macOS 15.0(Sequoia)以降が必要であり、それ以前のアップグレード済み VM はこの機能をサポートしていません。ストレージの制限事項については、以前のバージョンではディスクイメージや共有フォルダのみが利用可能でしたが、Sequoia で全デバイスサポートにより解消されました。

これらの進歩にもかかわらず、日常的な使用には厳格な制約が残っています:App Store アプリの多くは VM 内で動作不能であり、App Store の認証情報をチェックする仕組みがあるため VM が提供できないからです。Wi‑Fi は非対応で、VM はイーサネット接続のみを提供します。オーディオについては部分的にサポートされています。macOS セクション 2B(iii) のライセンス条件に基づくと、商用目的でない個人使用、ソフトウェア開発、テスト、または macOS Server 用途では Mac 1 台あたり最大 2 つの VM が許可され、3 つ目はブロックされます(macOS Server は 2022 年 4 月に不支援となり、Monterey 以降はサポートされていません)。使用例としては、新しい M4/M5 Mac でレガシーアプリを動作させること、隔離されたマルウェア解析の実施、ベータ版 macOS のテスト、追加の iCloud アカウントへのアクセスなどが挙げられます。

本文

Apple シリコン搭載 Mac において仮想環境を利用する以前には、VMware や Parallels などのサードパーティ製の仮想化ソフトウェアを用いることで、macOS、Linux、Windows の異なるバージョンを実行することが可能でした。これらの製品は、マホシンの上で異なる OS を動作させる仮想マシン (VM) を構築することを可能にしました。Apple シリコンへの移行を備えるエンジニアリング準備の一環として、Apple は新しい Mac ハードウェア上で仮想化をサポートするための唯一の現実的な手段として、macOS 自体に仮想化機能を統合することに決めました。その目的は、旧バージョンの macOS および Linux や Windows for ARM など他の OS を、仮想マシン内で動作させることです。

これは、Intel プロセッサ向けの OS を Apple シリコン Mac 上で実行するというより複雑な課題とは大きく異なります。Rosetta 2 は Intel アプリケーションのコード変換が可能ですが、OS の変換には適用できません。OS はソフトウェアエミュレータを必要とし、その機能は UTM などのツールに委ねられています。

ハイパーバイザー

macOS といったホスト OS 上に動作する現代の仮想化製品の基本的要件は、ハイパーバイザーです。Apple はこれを 2014 年に搭載された OS X 10.10 で macOS に追加しました。Intel プロセッサと同様に、ARM CPU もハイパーバイザー向けのハードウェアサポートを提供しており、Apple シリコン搭載 Mac の仮想化実装における残りの大部分の作業はデバイスサポートの整備を中心に行われました。Intel Mac においては PC の標準的なハードウェア構成を主に採用していたため比較的手がゆかったのですが、新しい Apple Mac では事情が異なります。

Virtio ドライバー

Apple シリコン上のあらゆるハードウェアデバイスは、対応する Intel Mac(存在する場合)のものと異なるものです。仮に Apple が外部利用のためにすべてをドキュメント化する意図があったとしても、Intel Mac のデバイスサポートを合わせるためのエンジニアリングコストは、どのサードパーティ企業にとっても過度な負担となります。そのため、ハイパーバイザーだけを構築し、残りの部分を他者に任せ、完全な仮想化製品を提供することを期待することは現実的ではなく、Apple やユーザーが期待する高いパフォーマンスを得ることも困難でした。Apple が選択したのは、デバイスサポートを macOS 内に実装することです。これを Virtio ドライバーという形で提供しました。

Virtio は、Rusty Russell 氏によって開発された I/O デバイスへの抽象化層を提供するための規格です。ゲスト OS からファイルを開くなどのリクエストがあった場合、これはフロントエンドとなる Virtio ストレージデバイスパラメータドライバーに渡され、さらにストレージデバイスと相互作用するバックエンドの Virtio ドライバーへと伝達されます。従来の仮想化手法よりも非効率的に見えますが、実際の運用でははるかに効率的であることが証明されています。

最も顕著な利点として、仮想化アプリの開発に必要なことは、必要な Virtio デバイスを構成して開くこと、そしてゲスト OS、Virtio レイヤー、ホスト OS が各自の作業を行うことのみです。Apple の Virtualization Framework を用いるアプリが基本的に実行していることがまさにこれです。

Apple が Virtio を選択した理由の一つには、Linux においてすでに良質な Virtio サポートが存在していたという事実があります(当時の macOS は Virtio サポートを持っていませんでした)。Monterey リリースの数年前の数年間、Apple のエンジニアたちは macOS への Virtio サポート整備に取り組みました。これが、macOS の軽量な仮想化機能が Monterey およびそれ以降のホスト OS でのみ利用可能であり、かつゲスト OS も Monterey およびそれ以降である必要がある理由です。macOS (ゲストおよびホストの両方として)の実装においては、キーボードやポインティングデバイスのサポート、共有クリップボード、Metal と GPU を活用した高パフォーマンスなグラフィックスなどへの拡張機能も提供されています。

Virtio モデルでは、このようなサポート機能の実現は仮想化ソフトウェア(ヒパーバイザーなど)の役割ではなく、OS の役割となります。VMware や Parallels といったベンダーにとっては、開発コストだけでなく製品の商業的価値も低下します。両 OS 間で Virtio また是同値の機能を通じて提供される仕様のため、これらのベンダーはより良く、より高速なグラフィックスサポートをエンジニアリングする余地がないからです。その結果、Apple シリコン搭載 Mac における仮想化によってサポートされるハードウェアと機能が Apple の管轄下に入るようになりました。

パフォーマンス

他方で、VM 内でも最適のパフォーマンスを保証します。CPU と GPU のコードはホスト OS と同様にハードウェア上で直接実行され、Virtio デバイスはほぼホストと同様のパフォーマンスを提供します。macOS Monterey をゲストおよびホストとして動作させた際の Geekbench 6.3.0 のベンチマークデータは以下の通りです:

  • CPU シングルコア: VM 3,643 | ホスト 3,892
  • CPU マルチコア: VM 12,454 | ホスト 22,706(利用可能なコア数の制限により)
  • GPU Metal: VM 102,282 | ホスト 110,960(VM は Apple パラバーチャライズデバイスとして動作)

その後の macOS バージョンではこれら以上のパフォーマンスが実現されています。VM に割り当てられる仮想コアは主にパフォーマンスコアであるため、通常効iciency コアで実行されるスレッドであっても、VM 内での実行速度はホスト上よりも著しく速くなります。当初は VM のプライマリーストレージ(ディスクイメージ)のパフォーマンスは良好ではありませんでしたが、最近では FileVault が有効化されている場合も含め、大幅に改善されています。

Rosetta 2

Rosetta 2 を用いてゲスト OS を翻訳することはできませんが、macOS VM 内部でも macOS 10.15 Catalina と互換性のある 64 ビット Intel コードを持つアプリにおいて、変換および実行に利用可能です。ただし、Apple シリコン上で動作する macOS のいずれのバージョンについても同じ制限事項が適用され、古いアプリケーションや 32 ビットアプリケーションを扱えない点が挙げられます。Apple が macOS 28 で Rosetta への完全なサポートを終了した以降、これが特に有用になります。macOS の旧バージョンを搭載した VM でも、ホスト OS では対応できないにもかかわらず、互換性のある 64 ビット Intel コードの変換および実行が可能となります。

主な制限事項

iCloud と iCloud Drive のアクセスに関するサポートは、VM での利用に Sequoia を搭載するまで提供されず、現在ではゲスト OS とホスト OS もともに macOS 15.0 以降のバージョンであることが必須条件となっています。これらの機能をサポートするための VM は構造が以前のものと異なるため、以前の macOS からアップグレードした VM でも iCloud や iCloud Drive のサポートを受けることはできません。

Apple シリコン搭載 Mac 上で macOS を仮想化する際の最大の残存制限事項は、App Store から配信される多くのアプリを実行できない点です。問題なく動作するものもありますが、App Store の認証情報をチェックするアプリケーションは一切動作せず、VM は App Store にログインできないためです。これは Apple の権限制限の結果であるように思われ、Apple がストアポリシーを再考・再設計しない限り変更される可能性は低そうです。

いくつかの次要的な機能においても問題点が残っています。例えば、VM からのネットワーク接続は常にイーサネットとして処理され、ホスト OS が Wi-Fi で接続できても VM では Wi-Fi としてのサポートがありません。オーディオも異質で、部分的にしかサポートされていないようです。Sequoia ではストレージデバイスのサポートが有効化されましたが、それ以前の macOS では VM のディスクイメージと共有フォルダに限られていました。

多くの方が unaware ですが、macOS のライセンス規約(第 2B(iii) 条)には、Mac で同時に動作させられる macOS VM の数は 2 つに制限されている旨の記載があります。これは macOS が強制しており、3 つ目の VM を起動しようとするとブロックされます。記録に残しておく必要があるのは、ライセンスが仮想化の目的も以下のように制限していることです:

  • (a) ソフトウェア開発;
  • (b) ソフトウェア開発中のテスト;
  • (c) macOS Server の利用;
  • (d) 個人向けの非商業的な利用。

Apple は 2022 年 4 月 21 日に macOS Server を不支援とし、Monterey より新しい macOS ではサポートが終了しています。

利用例

macOS VM を以下のような用途に活用できます:

  • Sonoma と互換性があるが Sequoia と互換性がないアプリを、Sonoma が動作しない M4 や M5 Mac で実行する。
  • カスタム環境(例えば、地域設定や言語設定を変えたものなど)でアプリを実行する。
  • 緊密に制限された環境下で、潜在的に悪意のあるドキュメントまたはアプリを確認・アクセスする。
  • macOS の複数のバージョンやローカライズ版との互換性をテストする。
  • 高い機密性を持つデータを扱いやすくするために、隔離された環境で作業する。
  • 異なる iCloud アカウントを同時にアクセスする。
  • macOS 27 ベータ版を実行する。

まとめ

Apple シリコン搭載 Mac 上の macOS VM は以下のことができます:

  • すべてのモデルで Monterey およびそれ以降のバージョンを実行可能ですが、Big Sur や Intel Mac の macOS は実行できません。
  • 次のリリースにおける beta バージョンの多くを実行できます。
  • Rosetta 2 を用いて Intel アプリを実行できます。
  • CPU と GPU パフォーマンスはほぼ平常通りであり、FileVault もサポートします。
  • iCloud および iCloud Drive にアクセスするには、ホストとゲストの両方が Sequoia またそれ以降である必要があります。

しかしながら、App Store から配信される多くのアプリは実行できません。

同じ日のほかのニュース

一覧に戻る →

2026/04/29 23:34

ゼッド 1.0

## Japanese Translation: Zed は公式にバージョン 1.0 をリリースし、多くの開発者が Mac、Windows、Linux 上でこの高性能なコードエディタを安心して利用できる重要な転換点を迎えました。Rust で完全構築され、GPU による加速レンダリングを採用する Zed は、従来のデスクトップアプリモデル(Electron など)を手放し、ゲーム環境のような優れた速度を実現するために設計された環境へと移行しました。独自に GPUI ライブラリ、CRDT を基盤とする DeltaDB データベース、シェーダーなどスタック全体を深く制御することで、競合には真似できないパフォーマンスを発揮しており、5 年で数百万行のコードを処理し、千以上のバージョンをリリースしてきました。バージョン 1.0 では数十の言語に対応し、Git 統合、SSH リモート、デバッガー、レインボー括弧などをサポートしており、すでに数十万人のデイリーユーザーに信頼されています。AI ネイティブなエディタとしての Zed は、Claude Agent、Codex、OpenCode、Cursor などのエージェントに対して Agents Client Protocol を用いてキーストローク粒度の予測とともに複数のエージェントを並行して統合しており、DeltaDB はチームメンバーが他者とエージェントとの会話を招待し、生成コンテキスト内で直接エイジェントコードをレビュー・発展させることを可能にします。このリリースの後、Zed は每周アップデートを継続し、人間と AI エージェントが文字レベルでリアルタイムに協業する未来へと向けられていきます。さらに、エンタープライズのニーズをサポートするために中央集権的な請求、ロールベースのアクセス制御、チーム管理、セキュリティ制御を提供する新たな「Zed for Business」のオファーも間もなく登場し、効率的なソフトウェア shipping において不可欠なツールとしての地位を確固たるものにします。現在、数十万人の開発者が Zed に依存して日々ソフトウェアを shipping し続けており、その職人技とパフォーマンスへの姿勢にチームは自信を抱いています。

2026/04/30 3:13

コピー失敗 – CVE-2026-31431

## Japanese Translation: CVE-2026-31431「Copy Fail」は、Xint Code による自動スキャンで発見された重大なコンテナエスケープ脆弱性であり、Linux システム上の何らかの未特権ユーザーが root に権限を昇級することを可能にします。この欠陥は 2017 年に追加された `algif_aead` モジュールにおける論理エラーに起因しており、タイミングの問題やレース条件が存在しない直線の攻撃経路によってデータ漏洩を引き起こします。2026-04-29 に公開され、2017 年以来のほぼすべての主流の Linux ディストリビューションに影響を与えており、Ubuntu、RHEL、Amazon Linux、SUSE、Debian、Arch、Fedora などを含むスタンドアロンの 732 バイトのProof-of-Conceptスクリプトによって確認されています。 **重大性と範囲:** * **高リスク:** マルチテナントホスト、Kubernetes クラスター、CI リナラー、クラウド SaaS 環境。 * **中リスク:** シングルトナントサーバー。 * **比較的低リスク:** シングルユーザーのノートパソコン(権限昇級のみ)。 **緩和措置と影響:** 管理者は直ちにメインラインの修正(コミット `a664bf3d603d` で特定)を適用する必要があります。緊急的な臨時対策として、脆弱なモジュールを無効化するために `/etc/modprobe.d/disable-algif.conf` を使用し、`rmmod algif_aead` を実行してください。AF_ALG の無効化は、それを明示的に使用するアプリケーション(例:afalg エンジンを使用する OpenSSL)に影響を与えるものの、dm-crypt、LUKS、IPsec、SSH などのコアサービスには影響しません。非信頼のワークロードについては、パッチの有無に関わらず追加の防御層として seccomp を使用して AF_ALG ソケットの作成をブロックすることをお勧めします。 ## Text to translate The original summary is well-written, clear, and comprehensive. No improvement is strictly necessary, but a slightly more structured version below offers better readability while retaining all key points. ## Improved Summary: CVE-2026-31431 "Copy Fail" A critical container escape vulnerability, CVE-2026-31431 ("Copy Fail"), discovered by Xint Code via automated scanning, allows any unprivileged user on Linux systems to escalate privileges to root. The flaw stems from a logic error in the `algif_aead` module—an optimization added in 2017—which enables data leakage through a straight-line attack path without timing issues or race conditions. Disclosed publicly on 2026-04-29, the vulnerability affects nearly all mainstream Linux distributions since 2017, confirmed across Ubuntu, RHEL, Amazon Linux, SUSE, Debian, Arch, Fedora, and more via a standalone 732-byte proof-of-concept script. **Severity & Scope:** * **High Risk:** Multi-tenant hosts, Kubernetes clusters, CI runners, and cloud SaaS environments. * **Medium Risk:** Single-tenant servers. * **Lower Risk:** Single-user laptops (privilege escalation only). **Mitigation & Impact:** Administrators must urgently apply the mainline fix identified by commit `a664bf3d603d`. As an immediate temporary measure, disable the vulnerable module using `/etc/modprobe.d/disable-algif.conf` and `rmmod algif_aead`. While disabling AF_ALG impacts applications explicitly using it (e.g., OpenSSL with the afalg engine), core services like dm-crypt, LUKS, IPsec, and SSH remain unaffected. For untrusted workloads, blocking AF_ALG socket creation via seccomp is recommended as an additional defense layer regardless of patch status.

2026/04/30 6:58

ドイツは現在、世界最大の弾薬製造国となっています。

## Japanese Translation: ラインメタルはドイツの軍事生産能力を劇的に拡大し、同国を世界トップクラスの常规兵器製造国として確立しました。この転換は、主に供給量の劇的な増加——例えば榴弾の生産速度が以前から10倍に向上し、軍用トラックの年間生産量は600台から4,500台へと増大した——によって国内防衛の緊急な需要を満たすことを目的として推進されています。これらの拡大努力はロシアの侵攻に伴うドイツの工業基盤の変革を導き、連邦国防軍(Bundeswehr)を欧州最強の勢力と位置づけることを目指していますが、新しい生産能力は特定の分野で現在の米国の生産水準を上回ることを可能にしますが、必ずしも米国よりも大量の在庫を保有しているわけではないことを意味しません。 この増大を支援するため、ラインメタルは35万件以上の雇用申請(うちドイツからの申請が25万件)を受け、急速に労働力を拡大しています。同社は2030年までに直接雇用を7万人に増やし、既存の1万1,500社のサプライヤーネットワーク全体でさらに21万人の追加ポストを設けることを期待しています。そのサプライヤーの多くは既に自動車業界における専門知識を持っています。この移行は構造転換であり、縮小傾向にある自動車業界から吸収されていた雇用を防衛生産が担うものです。ラインメタルのCEO は、これらの削減により防衛兵器生産が最終的にドイツの自動車セクターの約1/3 の雇用を代替する可能性があるとの見通しを示しています。結局のところ、この再編成は深層的な産業統合と、常规弾薬および装備品における大幅に強化された生産能力を確保します。

Apple Silicon を搭載した Mac における仮想化は、異なる仕様となります。 | そっか~ニュース