http://www.itmedia.co.jp/enterprise/articles/1711/29/news067.html
目次
何が問題なの?
おおよそタイトルを見てもらえればわかるかと思いますが、何が問題なのか考えてみます。
結論から先に。対策せず放置してると、
あなたのMacが他人のパソコン、会社にサイバー攻撃を仕掛ける加害者になるかもしれない
ということです。
キーワードは「脆弱性(ぜいじゃくせい)」「パスワードなし」「ログイン」「管理者」です。
Wikipediaの「
セキュリティホール」に「脆弱性」についての記述があります。
脆弱性は、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)の一つで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう
今回発覚したのはmacOS High Sierra(10.13.1)において、
rootと呼ばれるMac/macOSの「管理者」ユーザを使うと、「パスワードなし」で「ログイン」でき、管理者権限が必要なMac/macOSの重要な設定の変更、操作が出来てしまう
というものです。
言い換えると、
あなたのMacでありとあらゆることがやりたい放題できてしまう
というものです。
簡単な例
実際にやってみました。
「システム環境設定」の「ユーザとグループ」を表示します。
※通常、自分以外のユーザを追加しようとする場合には、左下の南京錠のマークをクリックして、管理者のユーザ名とパスワードを入力する必要があります。
実際に鍵マークをクリックすると、ユーザ名の欄には画面にも表示されている管理者のde-gucciの名前が表示されます。
通常はここで、de-gucciの正しいパスワードを入力して「ロックを解除」ボタンをクリックすることでユーザの追加・削除を実施することが出来ます。
が、ここでde-gucciの名前を
rootと書き換え、
パスワード欄には何も入力せず「ロックを解除」ボタンをクリックすると、、、
鍵マークがロック解除のマークに変更されました!!
つまり、
この画面だとユーザの追加と削除ができてしまうんです。
その他においても上記のユーザ名とパスワードを入力する欄が表示されたら、root/パスワードなしで何でも設定変更できちゃいます。
まぁ、これくらいなら、自分のMacを肌身離さずもっていれば操作されることはないので、そこだけ注意していれば大丈夫です。
が、一番の問題はほぼすべてのMacは有線/無線のネットワークに接続して利用されていること。
悪意ある攻撃者はネットワーク経由で、その場にいなくてもリモートで勝手にアクセスして、コマンドを入力することで操作しようとします。
その時、管理者のユーザ名とパスワードが必要となるんですが、これがmacOS High Sierraを使っているすべてのMacにroot/パスワードなしでアクセスできちゃうんです。
アクセスされたら、何でもやりたい放題なので、プライベートな情報、入っているなら会社の情報が盗まれる可能性があります。場合によっては悪意ある攻撃をそこから仕掛けるかもしれないんです。
怖っ!!
なので、さすがのAppleも超ヤバいと思ったのか対策のセキュリティアップデートの配布を開始しました。
なので、自分のMacにも速攻で適用しましょう!
セキュリティアップデート 2017-001 Sierraのインストール方法
macOS High Sierraのセキュリティアップデート 2017-001 SierraはApp Storeで配布されます。
なので、App Storeアプリを起動し、アップデートをクリックすることで表示、、、
されない場合もあるので、そのときは[ストア]メニュー→[ページを再読み込み]の順でクリックします。
すると表示されるので「アップデート」ボタンをクリックします。
自動的にセキュリティアップデートがダウンロード&インストールされます。
これで終了です。再起動などは必要ありません。
セキュリティアップデート 2017-001 Sierraがインストールされているかの確認方法
ちゃんといんすとーるされたかな?と不安に思われる方もいるかもしれないので確認方法も紹介します。
メニューバーからリンゴマークをクリックして[このMacについて]をクリックします。
表示された画面で[システムレポート]ボタンをクリックします。
左ペインの「ソフトウェア」をクリックし、右ペインに表示された「システムのバージョン」が、「macOS 10.131.1 (
17B1003)」と表示されていれば更新されています。
セキュリティアップデート 2017-001 Sierraについて
セキュリティアップデート 2017-001 Sierraの詳細については下記のリンクを参照ください。
https://support.apple.com/ja-jp/HT208221
おわりに
Macにセキュティの問題なんてないよ。なんて言われたのは昔の話。
Macがメジャーになるにつれ、悪意ある攻撃者も甘い汁を吸おうとどんどん寄ってきています。
セキュリティ対策ソフトウェアの導入も含めて、セキュティ対策をしてくださいね。
では、今回はこの辺で。
[buttons]]]>