AppleのMac用OSの最新版「macOS High Sierra v10.13.x」に、パスワードなしで管理者としてログインできてしまう問題が見つかり、大きな問題となっている。修正されるまでの間は、回避策を実施しておくか、Macから目を離さないようご注意いただきたい。
この問題は、トルコのソフトウェア会社の創始者レミ・オルハン・エルギン氏が29日未明にTwitterで警告したもの。macOSの「システム環境設定」の「ユーザーとグループ」を開き、左下の「変更するにはカギをクリックします」のところにある錠前アイコンをクリックする。ユーザー名に「root」を入力し、パスワードなしで「ロックを解除」を数回クリックすると、ロックが解除できてしまう。
「root」は、macOSに標準で組み込まれている、あらゆる操作が可能な管理者アカウントで、通常は無効化されている。管理者権限を持つアカウントで有効化でき、その際にパスワードを設定するようになっている。ところが先の操作を行うと、管理者権限がなくても、rootアカウントをパスワードなしで有効化できてしまうようだ。一連の操作を行うには、Macに直接ログインしなければいけないので、目を離したすきにロックされていないMacを操作されたり、FileVaultが無効のMacにゲストユーザーでログインされたりすると攻撃を受け、第三者に管理者権限でシステムを操作されてしまう。
問題が修正されるまでの当面の回避策としては、次が考えられる。
(1) 第三者に操作させない
(2) ゲストユーザーを無効にするか、FileVaultを有効にする
(3) rootを有効にしてパスワードを設定しておく
Macを操作されなければ、この脆弱性を悪用することはできない。(1)はその実践で、Macを持ち出さない、目を離さないなどの物理的な対策だ。アカウントは、必ずパスワードで保護し、少しでも席を離れる際には、必ずMacをロックする。Macのロックに関しては、下欄記載のトピックス記事「PCやスマホ、IoT機器を守る“物理的”セキュリティ対策」や、「パソコン購入後・使い始めに、必ずやっておきたいセキュリティ設定」を参照していただきたい。
ゲストユーザーは、Macにパスワードなしでログインできるので、目を離したすきに第三者に操作されてしまう可能性がある。ただし、ディスクの暗号化機能であるFileVaultが有効の場合には、ゲストユーザーが利用できるのは「Safari」に限定される。これが(2)の対策だ。ゲストユーザーは「システム環境設定」の「ユーザーとグループ」で、FileVaultは「システム環境設定」の「セキュリティとプライバシー」で設定や変更が行える。
(3)は、rootアカウントをあらかじめパスワード付きで有効にしておくことで、パスワードなしで有効化されることを防ぐ対策だ。rootアカウントの有効化は、「システム環境設定」の「ユーザーとグループ」から操作する。詳しくは、アップルのドキュメント「Mac でルートユーザを有効にする方法やルートパスワードを変更する方法」を参照していただきたい。
Macから離れる際には必ずロックし、なおつ(2)か(3)のどちらかを実施しておけば、第三者のrootアカウントによる操作を防ぐことができる。
(2017/11/29 ネットセキュリティニュース)
【関連URL】
・Lemi Orhan Ergin氏の当該ツイート
https://twitter.com/lemiorhan/status/935578694541770752
・Mac でルートユーザを有効にする方法やルートパスワードを変更する方法
https://support.apple.com/ja-jp/HT204012