「Mac OS X Lion」のユーザーはログインパスワードを変更した方がいいだろう。
セキュリティ研究者のDavid Emery氏は、Mac OS X 10.7.3 Lionの「FileVault」機能に関連する新しい脆弱性について警告した。FileVaultは一部ディレクトリの暗号化を可能にする機能だ。同氏は、次のように書いている。
理由は分からないが、何者かがMacOS Lion 10.7.3の現行バージョンのデバッグスイッチ(DEBUGLOG)を有効にした。それが原因で、authorizationhostプロセスの「HomeDirMounter DIHLFVMount」がシステム全体のログファイルに「プレーンテキスト」でログインするようになった。ルートまたは管理者アクセスを持つ者なら誰でも、そのログファイルを閲覧し、暗号化されたホームディレクトリツリーのユーザーのログインパスワードを確認することができる。
デフォルト設定では、問題となっているログファイルは数週間保存される。
したがって、グループ管理者にアクセスが認められているファイル閲覧権者なら誰でも、2012年2月上旬の10.7.3へのアップグレード以降にログインしたレガシー(Lionより前)Filevaultホームディレクトリのすべてのユーザーのログインパスワードを見つけることができる。
Emil Protalinski氏は米CNETの姉妹サイトである米ZDNetでEmery氏と同じ見解を示し、この脆弱性は軽視すべきでないと述べた。
管理者またはルートアクセスを有する者なら誰でも、暗号化されたホームディレクトリツリーのユーザー認証情報を取得できる。FireWire経由でドライブを接続して、ファイルにアクセスすることも可能だ。これを実行した後は、詮索好きなユーザ-から隠すために暗号化されたファイルを閲覧できるだけでなく、そのユーザー名およびパスワードによって保護されているはずのほかのあらゆるデータにアクセスすることもできる。
この脆弱性は、「Time Machine」を利用した外付けドライブへのバックアップにも影響を及ぼす可能性がある、とProtalinski氏は述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?