http://www.itmedia.co.jp/enterprise/articles/1711/29/news067.html
クリックできる目次
何が問題なの?
おおよそタイトルを見てもらえればわかるかと思いますが、何が問題なのか考えてみます。 結論から先に。対策せず放置してると、 あなたのMacが他人のパソコン、会社にサイバー攻撃を仕掛ける加害者になるかもしれない ということです。 キーワードは「脆弱性(ぜいじゃくせい)」「パスワードなし」「ログイン」「管理者」です。 Wikipediaの「セキュリティホール」に「脆弱性」についての記述があります。脆弱性は、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)の一つで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう今回発覚したのはmacOS High Sierra(10.13.1)において、 rootと呼ばれるMac/macOSの「管理者」ユーザを使うと、「パスワードなし」で「ログイン」でき、管理者権限が必要なMac/macOSの重要な設定の変更、操作が出来てしまう というものです。 言い換えると、 あなたのMacでありとあらゆることがやりたい放題できてしまう というものです。
簡単な例
実際にやってみました。 「システム環境設定」の「ユーザとグループ」を表示します。 ※通常、自分以外のユーザを追加しようとする場合には、左下の南京錠のマークをクリックして、管理者のユーザ名とパスワードを入力する必要があります。 実際に鍵マークをクリックすると、ユーザ名の欄には画面にも表示されている管理者のde-gucciの名前が表示されます。 通常はここで、de-gucciの正しいパスワードを入力して「ロックを解除」ボタンをクリックすることでユーザの追加・削除を実施することが出来ます。 が、ここでde-gucciの名前をrootと書き換え、パスワード欄には何も入力せず「ロックを解除」ボタンをクリックすると、、、 鍵マークがロック解除のマークに変更されました!!
つまり、この画面だとユーザの追加と削除ができてしまうんです。
その他においても上記のユーザ名とパスワードを入力する欄が表示されたら、root/パスワードなしで何でも設定変更できちゃいます。
まぁ、これくらいなら、自分のMacを肌身離さずもっていれば操作されることはないので、そこだけ注意していれば大丈夫です。
が、一番の問題はほぼすべてのMacは有線/無線のネットワークに接続して利用されていること。
悪意ある攻撃者はネットワーク経由で、その場にいなくてもリモートで勝手にアクセスして、コマンドを入力することで操作しようとします。
その時、管理者のユーザ名とパスワードが必要となるんですが、これがmacOS High Sierraを使っているすべてのMacにroot/パスワードなしでアクセスできちゃうんです。
アクセスされたら、何でもやりたい放題なので、プライベートな情報、入っているなら会社の情報が盗まれる可能性があります。場合によっては悪意ある攻撃をそこから仕掛けるかもしれないんです。
怖っ!!
なので、さすがのAppleも超ヤバいと思ったのか対策のセキュリティアップデートの配布を開始しました。
なので、自分のMacにも速攻で適用しましょう!
