Mac向けOS『macOS High Sierra』で、ユーザ名欄に『root』と入力すればパスワード欄は空白のままでもroot権限でログインができるという脆弱性が見つかりました。
この脆弱性を悪用するにはMac実機を直接操作する必要があるため、被害の範囲は狭そうですが、第三者に触れられる可能性がある場合には注意が必要です。
この問題への対策として、一般社団法人JPCERTや海外メディアのGuru3Dでは
IV. 回避策 本設定の問題に対しては次の回避策が有効とされています。 - root ユーザのパスワードを適切に設定する なお、パスワードを設定後、「ルートユーザを無効にする」に再設定すると、当該問題を再度悪用される可能性があるため、注意が必要です。 |
重要なことはrootを無効にすることではない。ユーザネーム欄にroot、パスワードを空白のまま入力すれば再度rootアカウントを有効にすることができる。Appleがパッチを配信するまで、強力なパスワードでrootアカウントを保護し、アカウントを有効のままにしておく必要がある。
|
と、rootを有効にして、強力なパスワードを設定するよう案内しています。また、rootを無効にすることは脆弱性が再発するため禁忌とされています。
しかし、国内メディアのGIGAZINEだけは唯一、
この脆弱性への対策としては、ルートユーザを無効にしルートユーザーのパスワードを変更することが推奨されています。 |
と、rootを無効にするよう案内しています。検索したかぎり、GIGAZINE以外はどこもrootを有効にしておくことを推奨していたため、おそらくGIGAZINEの誤字でしょう。もし、周りにGIGAZINEの方法を参考にしようとしている人がいたら、注意を促してあげてください。
rootやパスワードの設定方法は下記Appleのサイトをご参照くださいませ。
< Update 1 >
Appleはこの脆弱性を修正したセキュリティアップデート『Security Update 2017-001』を公開しました。ユーザの方はApp Storeから早急なアップデートが推奨されます。