is702
ニュース

macOS、rootにパスワード無しでログインできる脆弱性が発覚

2017/12/04

トレンドマイクロは11月30日、公式ブログで「最新のmacOSでパスワードなしでログイン可能となる脆弱性を確認」と題する記事を公開しました。アップルのMac向けOS「macOS High Sierra 10.13」において、認証情報がわからなくとも、誰でも簡単にシステムログイン可能な脆弱性が確認されたとのことです。

この脆弱性は、「root」アカウントを使用すれば、パスワードを入力しないままでログインできてしまうというものです。具体的には、認証情報を要求する画面が出た際に、ユーザ名に「root」を入力しパスワードを入力せずに[Enter]キーを2回押せば、そのまま要求が承諾され、以降はそれまで存在しなかった「root」アカウントが有効となってしまいます。

この脆弱性は「CVE-2017-13872」として認識され、アップルは、修正プログラム「セキュリティアップデート 2017-001」を11月29日に公開済みです。対象OSは、macOS High Sierra 10.13およびmacOS High Sierra 10.13.1です。

この脆弱性を利用した攻撃を成立させるためには、Macを直接操作する必要があるため、比較的難しいと考えられます。一方で、Macの「画面共有」機能を有効にしていた場合には、リモートで「root」アカウントを有効にされる可能性があります。さらに、システム管理者の権限を得ることが可能なため、万が一悪用された場合は大きな影響が発生すると、トレンドマイクロでは指摘しています。

macOS High Sierra 10.13利用者、特に自分以外の利用者も参加するネットワーク上で「画面共有」機能を利用しているユーザは、早急にアップルの修正プログラムを適用してください。また同様の不適切な管理アカウント設定等により機器が侵害される事例は、Webカメラ等のIoT機器で頻繁に起こっています。macOSに限らず利用機器のアップデート、初期設定の変更は必ず行いましょう。

  • FCTV
  • mitene
FCTV
mitene