アップル最新OSに重大バグ パスワードなしで管理者ログイン
デイブ・リー北米テクノロジー担当記者
Image copyright
Getty Images
米アップルは28日、同社のマックOS(基本ソフト)で重大なバグが発覚したことを受け、バグの修正に取り組んでいると発表した。
最新のOS「MacOS High Sierra(ハイ・シエラ)」の不具合により、パスワードなしでパソコンにアクセスし、管理者が持つ強い権限も持てるようになる。
アップルは発表文で、「この問題解決のため、ソフトウェアのアップデートに取り組んでいる」と述べた。
このバグはトルコの開発者、レミ・エルギン氏が発見した。
エルギン氏は、ユーザー名に「root(ルート)」と入力し、パスワードは空欄のままで「ロックを解除」ボタンを数回クリックすると、対象のパソコンへの無制限のアクセス権が与えられることを見つけた。
エルギン氏は、ITセキュリティーに携わる人たちが通常守るべき情報公開指針に従わなかったため、批判を受けた。
指針ではセキュリティー専門家らに対し、企業に製品の不具合を通知し、不具合を修正するための合理的な時間を与えてから、不具合を公表するよう求めている。
エルギン氏は、ツイッター上でのこのような指摘には反応しなかった。またBBCは28日、同氏に連絡しようと試みたが、連絡が取れなかった。
アップルは事前に不具合を知っていたかどうか確認も、否定もしていない。
悪用
バグの悪用でかなりのことができるのに対し、バグそのものは驚くほど単純で、「大きなへま」で「恥ずかしい」内容だとセキュリティー専門家らは指摘する。
Image copyright
Getty Images
ルートアクセス権は通常のユーザーより権限があり、例えば同一のパソコン上のほかのアカウントのファイルの閲覧や編集が可能だ。そして、重要なシステムファイルを削除することもでるので、パソコンを使い物にならなくすることも可能だ。あるいは、一般的なセキュリティソフトが検知しにくいマルウェア(悪意のあるプログラム)をインストールしてしまうこともできる。
通常の場合、ネット経由で悪用できるバグではないので、実物のパソコンに触れなければ侵入できない。とは言うものの、ほかの方法で遠隔操作が可能になった場合、バグを利用してアクセス可能なパソコンをコントロールできる。
バグ問題を公表するタイミングは、アップルに大きな課題を突きつけている。今は犯罪者が脆弱性を悪用できるようになってしまう前に急いで修正を導入する必要がある。
英サリー大学のアラン・ウッドワード教授は「性急さと安全性は相いれない」と話す。「アップルは、テストする十分な時間がないからといって、修正パッチが他の問題を発生させてしまわないように注意する必要がある」という。
一次的な対処法
アップルは修正に取り組む一方で、バグを心配するユーザーに対して対処法を提示した。
「ルートパスワードを設定すると、権限のないアクセスを防ぐことができる」とアップルの担当者は話す。
ルートユーザーとパスワード設定を有効にする手順は、サポートのウェブサイト(英語)で説明されている。
またルートユーザーをすでに有効にしている場合には、空白のパスワードが設定されていないようにするため「ルートパスワードの変更」以下の手順を行うよう同社は求めている。
ルートパスワード設定を行うためのより詳しい手順は、アップル関連ニュースサイト「MacRumors(マックルーマーズ)」に書かれている。
システム設定に変更を加えることに自信がない人に、セキュリティの専門家は以下のような単純なアドバイスをしている。「自分のマックから目を離さないで、OSのアップデートが提供されたら確実に適用すること」。
