最新の macOS High Sierra 10.13 において、アカウントの認証情報がわからなくとも、誰でも簡単にシステムへのログインが可能になる脆弱性が確認されました。これは「root」アカウントを使用することにより、パスワードの入力なくログインができてしまうと言うものです。しかし、デフォルト設定で運用されているMacに対してこの脆弱性を利用した攻撃を成立させるためには物理的アクセスが必要な部分も多く、悪用へのハードルは高いものと言えます。この脆弱性は「CVE-2017-13872」として認識され、Apple社により既に修正プログラムも公開されました。この脆弱性単体での危険性はそれほど高くはありませんが、侵入した攻撃者や不正プログラムに利用される可能性もあります。macOS High Sierra 10.13利用者の方、特に自分以外の利用者も参加するネットワーク上で「画面共有」機能などを必要としている利用者の方は忘れずに修正プログラムを適用してください。
この脆弱性に関する情報は、開発者向けのフォーラムである Apple Developer Forums内で2週間前に共有されました。既に macOS High Sierra 10.13 ではパスワードを漏えいさせてしまう別の脆弱性が 10月に確認されていましたが、それに続いてセキュリティ上の懸念が発覚した形です。この脆弱性の利用方法は簡単ですが、ログイン状態の Mac を操作する必要があります。アカウントのパスワード設定の変更など、アカウントとパスワードを要求するロック解除画面が出た際、アカウントに「root」を入力し、パスワードを入力せずに[Enter]キーを2回押せば、ログオンしているアカウントのパスワードを知らなくとも、そのまま要求が承諾されます。その後はそれまでは存在しなかった「root」アカウントが有効となってしまいます。そもそも画面をロックせずに席を離れることは避けるべきですが、この脆弱性によりその意味は高まったものと言えます。
Mac内に侵入した攻撃者や不正プログラムは、この脆弱性を利用してパスワードを必要とせずに設定変更を行ったり、システム管理者の権限を得ることが可能です。また、Mac の「画面共有」機能を有効にしていた場合には、リモートで「root」アカウントを有効にされる可能性がありますので、共有の設定を有効にする運用が必要な場合には注意が必要です。また、「ルートユーザが有効」の設定になっていたり、ゲストユーザ設定が有効になっている場合には、さらにリモートでの攻撃が容易になる可能性がありますので注意が必要です。そのような設定で Mac を使用する必要がある利用者の方は早めの修正プログラム適用を推奨します。
今回の脆弱性の肝はパスワード未設定の管理アカウントが有効になってしまう、と言うものでした。同様の不適切な管理アカウント設定や管理アカウントの初期パスワードの放置などにより機器が侵害される事例は、Webカメラなどの IoT機器で頻繁に起こっており、「MIRAI」のような IoT機器を狙うボットの温床になっています。ソフトウェアや機器のベンダーはこのような脆弱性を発生させないよう一層注意することはもちろんですが、利用者側でも脆弱性のアップデートや初期設定の変更を必ず行って悪用されないようにする心がけが肝心です。
参考記事: