http://www.itmedia.co.jp/enterprise/articles/1711/29/news067.html
クリックできる目次
何が問題なの?
おおよそタイトルを見てもらえればわかるかと思いますが、何が問題なのか考えてみます。 結論から先に。対策せず放置してると、 あなたのMacが他人のパソコン、会社にサイバー攻撃を仕掛ける加害者になるかもしれない ということです。 キーワードは「脆弱性(ぜいじゃくせい)」「パスワードなし」「ログイン」「管理者」です。 Wikipediaの「セキュリティホール」に「脆弱性」についての記述があります。脆弱性は、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)の一つで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう今回発覚したのはmacOS High Sierra(10.13.1)において、 rootと呼ばれるMac/macOSの「管理者」ユーザを使うと、「パスワードなし」で「ログイン」でき、管理者権限が必要なMac/macOSの重要な設定の変更、操作が出来てしまう というものです。 言い換えると、 あなたのMacでありとあらゆることがやりたい放題できてしまう というものです。
簡単な例
実際にやってみました。 「システム環境設定」の「ユーザとグループ」を表示します。 ※通常、自分以外のユーザを追加しようとする場合には、左下の南京錠のマークをクリックして、管理者のユーザ名とパスワードを入力する必要があります。 実際に鍵マークをクリックすると、ユーザ名の欄には画面にも表示されている管理者のde-gucciの名前が表示されます。 通常はここで、de-gucciの正しいパスワードを入力して「ロックを解除」ボタンをクリックすることでユーザの追加・削除を実施することが出来ます。 が、ここでde-gucciの名前をrootと書き換え、パスワード欄には何も入力せず「ロックを解除」ボタンをクリックすると、、、 鍵マークがロック解除のマークに変更されました!!