【メールマガジン】IT・ネットの最新情報を配信中!
新規ID登録
Myページ
ニュース
連載
» 2017年12月08日 09時00分 公開

ITりてらしぃのすゝめ:iOS、macOSで“致命的バグ”連発 結局アップデートはするべき? (1/2)

iOSやmacOSで「致命的な不具合」が続くApple。ユーザーは、これらの問題にどう対処すればよいのか。

[宮田健ITmedia]

 2017年11月29日、Macの最新OS「macOS High Sierra」(macOS 10.13)において、ちょっと目を疑うような不具合が明らかになりました。ユーザー設定画面で鍵のマークをクリックすると表示される、管理者権限を要求するユーザーID/パスワード画面に、パスワードを空にして「root」と入力してクリックを何度かすると、認証が通ってしまうというものです(関連記事)。

マック この画面で「ロックを解除」を何度かおすと、本当に認証が通ってしまった

 まず、「root」というユーザーの意味を説明しましょう。macOSでは利用者のユーザー名以外にも、管理のためのユーザーが存在します。UNIXを出自とするmacOSには、何でもできる権限を持つユーザーとして「root」が存在しますが、通常はこのユーザーを意識する必要はありませんし、このユーザーでログインすることもありません。

連載:ITりてらしぃのすゝめ

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。

 ところが今回の「不具合」では、そもそも使うことがないためにパスワードが設定されていないこのrootユーザーに、設定画面からログインできてしまうというものです。rootでログインができてしまうと、ほとんどのセキュリティ機構は意味を成さなくなってしまい、macOS内でのありとあらゆる行動が許されてしまいます。

 ある意味「元から存在するIDと、(空だけど)正しいパスワードを入力したらログインできた」という、多少厄介な不具合ではあります。ひょっとしたら、「システム内に存在するけど、ログインさせたくないユーザーでログインできてしまう」という、似たような不具合を持つWebサイトや社内システムも多いのではないかとも思いました。とはいえ、この不具合はかなり危険で、存在してはならないものです。

 Appleもこの不具合の深刻さは理解しており、この問題が明らかになってから24時間以内に修正のアップデートをリリース。macOS High Sierraを利用している方は漏れなくこのアップデートを適用し、かつ「再起動」を行っておいてください。

今回の不具合、最大の問題点は

 この不具合を受け、ネット上では「またアップルか」「だからアップデートはしちゃいけない」などの投稿が多数見られます。今回の不具合は決して褒められるものではない、致命的なものでした。ただ今回気になったのは、macOS不具合の「発表のされ方」です。

 今回の問題は、トルコのソフトウェア開発者レミ・オーハン・アージン氏によるツイートから明らかになりました。Appleのサポートに向け、このような不具合がある、と問いかけています。

 これが結果的にAppleを動かし、24時間以内の修正につながったわけではありますが、その間、macOSは危険にさらされてしまいました。本来ならばこのような影響の大きい問題は、「直接ベンダーに報告し対処を依頼する」か「第三者機関が間を取り持ち、修正を促す」という仕組みで対処すべきであり、いきなり誰もが見られるSNSやブログなどで発表することは危険です。

 日本においては、JPCERT コーディネーションセンターが発見者から脆弱性報告を受け、該当のベンダーに連絡を行う仕組みがあります。Webサイトが被害に遭っている、脆弱性を見つけたという場合は、JPCERTに連絡すべしということを覚えておきましょう。もしあなたがシステムエンジニアなら、JPCERTからの連絡が来たら適切に対処するようにしてください。

 とはいえ、個人的には今回の問題は「深刻だが、対処可能」であると感じていました。まず気にしたのは「ネットワーク経由でこのrootにログインができるか」。実はこの答えは「Yes」で、画面共有を明示的にオンにしている場合は、同様の方法でroot権限を奪われる可能性があります。

 逆にいうと、画面共有をオフにし(標準状態では最初からオフでした)、あとはMacを常に肌身離さず、放置しないこと。そして適切に画面をロックしていれば、ある程度の対処ができると考えられます。センセーショナルな不具合があったとしても、対処方法が明らかになっていれば、そこまで騒ぐことでもないということは覚えておきましょう(参考リンク)。

       1|2 次のページへ

ITりてらしぃのすゝめ 連載一覧

次回の掲載をメールで受け取る

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。

過去の連載記事が 10 件あります

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

- PR -

Special

- PR -

「AIが仕事を奪う!?」「奪いません!」

AIが人間を手助けすることで「1万8000人の社員を半分に」「4万6200時間かかる仕事を150時間に短縮」──本当に実現できる? AIのビジネス活用はここまで進んでいます。

クラウド利用は企業にとってもはや必須

「2020年までにクラウドでナンバーワンになる」は本当ですか? Oracle Cloudの「強み」「違い」をユーザー視点で聞いてみた

Galaxy Note8の活用法を思う存分語りたい!New!

12/17(日)大阪にて緊急開催!『俺のGalaxy Note 8 with ITmedia Mobile』。当日は人気絵師refeia氏が、イラストレーター目線でGalaxy Note8を解説。豪華プレゼントも…?

Surface Pro に待望のLTEモデルが登場!New!

大手3キャリアの主要バンドをサポートし、ワークスタイル変革をさらに加速させる Surface Pro LTE Advanced 詳細はコチラから

会社に行かずに業務したら快適だった

「なぜ、会社で仕事をしなければいけないのか?」――そんな疑問から、出社せずに働いてみた。

業務アプリが使えない?なら自分で作れば?

業務アプリが使いづらくて仕事が進まない。けど、新しいシステムの導入は情シスの管理負荷は増えるし、お金もかかる――そんな状況を打破するツールが登場した