macOS High Sierra(バージョン10.13/10.13.1)には、パスワードなしでMacに完全な管理アクセス権を与える大きなセキュリティ上の欠陥があります。ユーザー名に「root」を使用することができ、パスワードなしで管理者権限でログインできてしまう不具合が発見され、騒ぎになっています。
ユーザー名「root」はデフォルトでは無効になっているはずですが、現段階の10.13バージョンのmacOS High Sierraでは、例えば「root」の文字列が有効になるバグによりパスワードなしで誰でもアクセスすることができるようになっています。
Appleが今年9月に公開した「macOS High Sierra 10.13」で、ディスクユーティリティのヒントにAPFSの暗号化用パスワードが表示されてしまう不具合がありました。Appleでは、急いでこの問題について「macOS High Sierra 10.13への追加アップデート」を公開したという経緯もあります。
今回発見されたこの「root」バグは、トルコのソフトウェアエンジニアLemi Orhan Ergin氏によって発見されました。新たにユーザ名「root」を入力することによりパスワードを入力することなく管理者権限でログインできてしまう不具合が話題になっています。
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 2017年11月28日
Appleはこのバグを認めており、現在修正作業を行なっているとのことで、近いうちにアップデートバージョンがリリースされるものと思われます。ただ、それまではパスワードでrootのパスワードを有効にして、誰かが勝手にMacに管理者権限で入り込んでしまうことを防ぐことを強くお勧めします。
管理者権限を与えてしまうmacOS High Sierraのセキュリティバグを修正する方法
このバグはmacOS High Sierra限定の症状で、macOS Sierraでは正常に機能しているようです。 macOS High Sierraユーザーは、以下の手順でmacOS High Sierraセキュリティバグを一時的に修正しましょう。
- まずは、macOS High Sierra(バージョン10.13/10.13.1)で動作しているMacの[システム環境設定]を立ち上げて[ユーザーとグループ]を開きます。
- 次に、画面左下のロックアイコンをクリックします。
- プロンプトが表示されたらパスワードを入力して[ロック解除]をクリックします。
- ロック解除したら、ロックアイコン上の[ログインオプション]をクリックします。
- [ログインオプション]画面では、「ネットワークアカウントサーバ」横の[接続]アイコンをクリックします。
- 表示プロンプトの[ディレクトリユーティリティを開く]ボタンをクリックします。
- 画面左下のロックアイコンをクリックします。
- パスワードを入力して[構成を変更]ボタンをクリックします。
- メニューバーから[編集]を選んで[ルートユーザーを有効にする]をクリックします。
- 「root」パスワードを設定します。
上記の設定を行うことで、今回の「root」バグによる空パスワードでの「root」ユーザーでのアクセスは不可能になります。それでも、バグの深刻さを考えると、Appleには早期のバグ修正リリースを期待せずにはいられませんね。
