Appleの「macOS High Sierra」に、完全な管理者権限をもつユーザーとしてシステムにログイン可能になる脆弱性が見つかった。既に修正済みのこの脆弱性を攻撃者が悪用すると、どのような被害につながったのか。
AppleのクライアントOS「macOS High Sierra」に存在していた脆弱(ぜいじゃく)性は、攻撃者が一切の認証手順を回避し、完全な管理者権限をもつユーザーとしてログインすることさえ可能にするものだった(現在は修正済み)。
このセキュリティ問題が脚光を浴びたのは、決済システムを手掛けるトルコのベンダーiyzico Payment Servicesのアジャイルソフトウェア開発者、レミ・オーハン・アージン氏が、ミニブログ「Twitter」へ2017年11月28日に投稿したツイート(つぶやき)が発端だった。
アージン氏はTwitterでAppleに対し、標的とするシステムに物理的にアクセスできる人物なら誰であれ、「ログインボタンを何回かクリックすると、パスワードが空欄のままでも、管理者権限を持つユーザーである『root』としてログインできてしまう」という認証回避問題を認識しているかどうかと問い掛けた。
この問題が指摘されたのは初めてではなかった。アージン氏はオンラインメディア「Medium」への寄稿の中で、2017年11月23日に同氏の勤務先のインフラチームから、macOSのこの脆弱性のことを知らされたと説明。Apple製品の開発者コミュニティー「Apple Developer Forums」では、同月13日からこの問題に言及する投稿があったことを明らかにした。
「責任ある開示のガイドラインに従わなければ、あらゆる人にとってのリスクを増大させる」。変更管理製品ベンダーTripwireの製品管理・戦略担当副社長、ティム・アーリン氏はこう語り、アージン氏のTwitterへの投稿を批判する。今回のような情報が一般に公開されれば「特に重大な脆弱性の場合、悪意ある攻撃者の間で可能な限り広範囲に情報が拡散されるのは確実で、パッチが公開される前に攻撃を急ごうという気を起こさせる」(アーリン氏)。
セキュリティ組織SANS Instituteのインターネット早期警戒プロジェクト「Internet Storm Center」(ISC)のセキュリティコンサルタント、ザビエル・マーテンズ氏は、この問題について警戒を促す中で、当面の対策としてrootユーザー用のパスワードを設定する方法を紹介した。
Appleは2017年11月29日、macOSのこの問題を修正するためのパッチを公開し、クレデンシャル(ID/パスワードなど認証に必要な資格情報)の検証にロジックエラーがあったと説明。この問題は「クレデンシャルの検証を強化することで解決した」という。
CMOはつらいよ マッキンゼー調査で浮かび上がるAI時代の厳しめな業務実態
生成AI、研究開発、価格戦略……。慢性的なリソース不足の中でマーケターの業務範囲はま...
「リンクレピュテーション」とは? SEO対策や注意点もわかりやすく解説
「リンクレピュテーションって何のこと?」「なぜ重要?」「リンクレピュテーションを意...
MAツール「MoEngage」 DearOneが日本語版UI提供へ
NTTドコモの子会社であるDearOneは、AI搭載のMAツール「MoEngage」の日本語版を2025年1月...