macOSに重大脆弱性発見。パスワード入力なしでログインできてしまう
Image: Gizmodo US

macOSに重大脆弱性発見。パスワード入力なしでログインできてしまう

High Sierraの方は今すぐ対策を。

ソフトウェアにつきものの「バグ」。しかしmacOS High Sierraに見つかったのは、「誰でも実質的にあらゆるアカウントにアクセスできる」という、きわめて重大なものでした。早く修正して〜!

トルコのソフトウェア開発者のLemi Orhan Ergin氏がツイートで指摘した、今回の脆弱性。システムの設定を開き「ユーザーとグループ」を操作して、Macにあるあらゆるアカウントの変更が簡単にできてしまいます。

171129_massive_security_vulnerability_in_high_sierra
Image: Apple

その方法は左下の鍵アイコンをクリックして、パスワードのフォームに「root」と記入し、パスワードの項目を選んで(ただし、なにも入力せず)、ロックを解除をクリック。これだけでシステムのロックが外れてしまうんです。米Gizmodoも、訳者の私もこの脆弱性は再現できました(7回くらいクリックで外れる…とありますが、もっと早くロックが解除できることも)。

ただし重要なことは、ハッカーがこの脆弱性を利用するにはログインされたMacにアクセスする必要がおそらくあることです。

20171129nmacos2
Image: Gizmodo US

さらに、もしrootを入力してすでにロックを解除していたら、ログアウト後でも再びログインできてしまいます。その方法は「Other」ユーザーを選び、rootとタイプし、パスワードの項目をクリックし、リターンを押すだけ。そして、これにより新規のユーザーアカウントが作成でき、admin(管理者)としてMacが操作できるのです。

この脆弱性はMacRumorsが指摘するように、Macでrootユーザーを有効にすることで回避できます。macOS High Sierraをお使いの方は、有効にしておくのをおすすめします。

Mac でルートユーザを有効にする方法

Mac の管理者は、ルートユーザアカウントを使って、システムの通常よりも広い領域へのアクセスが必要となる作業を実行できます。

https://support.apple.com/ja-jp/HT204012

米Gizmodoは現在Apple(アップル)にこのバグについて問い合わせており、どのような対処を行なうのか問い合わせています。

米Gizmodoによる追記:読者から、さらに恐ろしい問題を見つけたと、以下のコメントがありました。

「共有設定でリモートマネジメントを有効にしている場合、この脆弱性を利用して他人がApple Remote Desktopやscreensharing.appを利用して遠隔地からMacにログインできます。すでにこの手順がコワーキングスペースの友人のMacで可能なことを確認しており、こちらでもこの手法が確認できます」



Image: Gizmodo US, Apple
Source: Twitter, MacRumors, Apple

Adam Clark Estes - Gizmodo US[原文
(塚本直樹)

    あわせて読みたい

    powered by