AppleはmacOS High Sierraの修正プログラムを急いでリリースしたが、これによりユーザー名に「root」と入力してEnterキーを押すだけで誰でもMacの完全な管理者権限を取得できるようになった。
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
2017年11月29日 17:30 GMT更新
Appleは、macOS High Sierraの深刻な脆弱性を修正するセキュリティアップデートをリリースしました。アップデートの詳細は、同社のサポートウェブサイトに掲載されています。
Appleの広報担当者は、最新バージョンのOS(10.13.1)を搭載したMacではアップデートが自動的にダウンロードされると述べた。「この誤りを深くお詫び申し上げます。すべてのMacユーザーにお詫び申し上げます」と、広報担当者は声明文で付け加えた。
原作
macOS High Sierra搭載のMacで完全な管理者権限を取得したいですか?電源を入れ、ログイン画面が表示されるまで待ち、ログイン名に「root」と入力してEnterキーを数回押すだけです。これでログイン完了です。
簡単に言えば、この欠陥は非常に基本的なものなので、修正されるまでMacを放置しないでください。さらに簡単に言えば、ドア枠にドアを取り付け忘れたために誰かが家に侵入するようなものです。
Apple がこの欠陥を早急に修正することを期待します。
この問題はmacOS 10.13.1に存在するため、現在Macをご利用でシステムが最新であれば影響を受けます。この脆弱性により、誰でもすべてのファイルとフォルダにアクセスでき、パスワードのリセットや変更が可能になります。MacにApple IDがリンクされている場合は、このIDを削除したり変更したりすることも可能です。「システム管理者アクセス」と呼ばれるのには理由があり、この脆弱性により誰でもほぼ何でもできるようになります。
Macを放置しないだけでなく、macOS High Sierraをご利用の方は、設定から強力なパスワードを設定した管理者アカウントを作成し、空のアカウントが作成されないようにする必要があります。方法がわからない場合は、こちらの便利なガイドをご覧ください。Appleは声明の中で、解決策を検討中であり、当面は上記の回避策を実施するよう推奨しています。
警戒を強めたセキュリティ研究者たちは、このバグがどれほど広範囲に及んでいるかをTwitterで確認しました。このバグは、ロックされていないMacの管理者アカウントへのアクセス時と、ロックされたMacのログイン画面の両方で発生します。この問題は、macOS High Sierraがパスワードのない空のルートアカウントを盲目的に作成することに起因しているようです。しかし、なぜそのような動作をするのかは誰にも分かりません。
当初の報告では、この脆弱性はリモートから悪用できないとされていましたが、少なくとも1人のセキュリティ研究者が、特定の設定が有効になっている場合はそうではないことを発見しました。このバグは、macOS High Sierraを実行している企業やその他の組織でも問題となります。ネットワーク上でアクセス制限のあるアカウントを持つユーザーは誰でも、この脆弱性を悪用することで、完全な管理者権限でシステムにログインできる可能性があります。
この脆弱性は、開発者のLemi Orhan Ergan氏によってTwitterで公開されました。Ergan氏が公開前にAppleに連絡を取ったかどうかは不明ですが、Appleは招待制のバグ報奨金プログラムを運営しているため、その可能性は低いでしょう。
この記事はWIRED UKで最初に公開されました。
