Appleの「macOS High Sierra」に、完全な管理者権限をもつユーザーとしてシステムにログイン可能になる脆弱性が見つかった。既に修正済みのこの脆弱性を攻撃者が悪用すると、どのような被害につながったのか。
AppleのクライアントOS「macOS High Sierra」に存在していた脆弱(ぜいじゃく)性は、攻撃者が一切の認証手順を回避し、完全な管理者権限をもつユーザーとしてログインすることさえ可能にするものだった(現在は修正済み)。
このセキュリティ問題が脚光を浴びたのは、決済システムを手掛けるトルコのベンダーiyzico Payment Servicesのアジャイルソフトウェア開発者、レミ・オーハン・アージン氏が、ミニブログ「Twitter」へ2017年11月28日に投稿したツイート(つぶやき)が発端だった。
アージン氏はTwitterでAppleに対し、標的とするシステムに物理的にアクセスできる人物なら誰であれ、「ログインボタンを何回かクリックすると、パスワードが空欄のままでも、管理者権限を持つユーザーである『root』としてログインできてしまう」という認証回避問題を認識しているかどうかと問い掛けた。
この問題が指摘されたのは初めてではなかった。アージン氏はオンラインメディア「Medium」への寄稿の中で、2017年11月23日に同氏の勤務先のインフラチームから、macOSのこの脆弱性のことを知らされたと説明。Apple製品の開発者コミュニティー「Apple Developer Forums」では、同月13日からこの問題に言及する投稿があったことを明らかにした。
「責任ある開示のガイドラインに従わなければ、あらゆる人にとってのリスクを増大させる」。変更管理製品ベンダーTripwireの製品管理・戦略担当副社長、ティム・アーリン氏はこう語り、アージン氏のTwitterへの投稿を批判する。今回のような情報が一般に公開されれば「特に重大な脆弱性の場合、悪意ある攻撃者の間で可能な限り広範囲に情報が拡散されるのは確実で、パッチが公開される前に攻撃を急ごうという気を起こさせる」(アーリン氏)。
セキュリティ組織SANS Instituteのインターネット早期警戒プロジェクト「Internet Storm Center」(ISC)のセキュリティコンサルタント、ザビエル・マーテンズ氏は、この問題について警戒を促す中で、当面の対策としてrootユーザー用のパスワードを設定する方法を紹介した。
Appleは2017年11月29日、macOSのこの問題を修正するためのパッチを公開し、クレデンシャル(ID/パスワードなど認証に必要な資格情報)の検証にロジックエラーがあったと説明。この問題は「クレデンシャルの検証を強化することで解決した」という。
Copyright © ITmedia, Inc. All Rights Reserved.
トランプ氏勝利で追い風 ところでTwitter買収時のマスク氏の計画はどこへ?――2025年のSNS大予測(X編)
2024年の米大統領選挙は共和党のドナルド・トランプ氏の勝利に終わった。トランプ氏を支...
AI導入の効果は効率化だけじゃない もう一つの大事な視点とは?
生成AIの導入で期待できる効果は効率化だけではありません。マーケティング革新を実現す...
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。