アップデートを自動配信：Apple、パスワードなしで管理者ログインできる脆弱性を修正　ユーザーに謝罪

パスワードを入力しなくても、管理者権限でMacにログインできてしまう問題が修正された。アップデートはmacOS High Sierra向けに、自動的に配信される。

ユーザ名に「root」と入力し、パスワードは空白のままで何度かログインボタンをクリックすれば、管理者権限でログインできてしまう問題が報告されていた

　AppleのmacOS High Sierra（バージョン10.13）に、パスワードを入力しなくても管理者権限でログインできてしまう脆弱性が発見された問題で、Appleは11月29日、この脆弱性を修正するセキュリティアップデート「2017-001」を緊急公開した。

　Appleのセキュリティ情報によると、認証情報の検証に関するログインエラーがあり、攻撃者が管理者パスワードを入力しなくても、管理者認証を迂回できてしまう可能性がある。

　今回のアップデートはmacOS High Sierra 10.13.1のみが対象となる。一方、macOS Sierra 10.12.6までのバージョンは影響を受けないとしている。

　なお、自分のMacで管理者用のrootユーザーアカウントを必要とする場合、今回のアップデートを適用後、rootユーザーを再度有効にして、rootユーザーのパスワードを変更する必要があるという。

　Appleのサポート情報では、rootのユーザーアカウントを「ほかのmacOSユーザアカウントのファイルなど、普通ならアクセスできない広い領域に対する、システムの読み書き権限を持つスーパーユーザー」と定義。このアカウントはデフォルトでは無効になっている。rootユーザーを有効にする代わりに、ターミナルで「sudo」コマンドを使う方が安全だとも解説している。

Appleのサポート情報。Macでルートユーザを有効にする方法やルートパスワードを変更する方法を解説している

　米セキュリティ機関CERT/CCによれば、今回の脆弱性は、ローカルだけでなく、SSHのようなリモートアクセス経由でも悪用される恐れがある。rootアカウントが有効にされれば、「画面共有」や「リモート管理」といった内蔵のリモート管理機能が利用できる状態になる。

　Appleはメディア各社に寄せた声明で、「われわれのセキュリティエンジニアは28日午後にこの問題を認識すると、直ちにセキュリティホールをふさぐためのアップデートに取りかかった」と説明し、「今回の過ちについては非常に申し訳なく思っており、全Macユーザーに謝罪する」とした。

　アップデートはmacOS High Sierraの最新版（10.13.1）が搭載された全システムに、自動的にインストールされるという。再発防止のため、開発プロセスの監査を行っていることも明らかにした。Appleが脆弱性に関してこうしたコメントを発表するのは異例だ。