logo

「macOS」でまたパスワード迂回の不具合--システム環境設定の「App Store」

Laura Hautala (CNET News) 翻訳校正: 編集部2018年01月11日 10時44分
  • このエントリーをはてなブックマークに追加

 パスワードなしでログインできてしまう「Mac」のバグがまた発見された。しかし、前回発見された同様のバグと異なり、今回のバグを悪用されても、コンピュータに少しいたずらされるだけで済みそうだ。


提供:CNET

 このバグが発見されたことで、Appleのソフトウェアの全体的な品質について、懸念の声が上がるのは避けられないだろうが、この脆弱性を悪用されても、コンピュータを完全に乗っ取られることはない。

 2つのバグを比較してみよう。2017年11月、ユーザー名として「root」を使用すれば、誰でもパスワードなしでMacにログインできることが明らかになった。これは、コンピュータ内のデータを泥棒や詮索好きな友達、家族、同僚から守る最も基本的な防衛線を無力化する深刻な脆弱性だ。米国時間2018年1月8日、パスワードフィールドにどのような文字を入力しても、システム環境設定の「App Store」設定のロックを解除できることが報告された。ただし、管理者としてログインした場合に限られるという。

 Appleにコメントを求めたが、すぐに回答を得ることはできなかった。

 米CNETは、この報道の真偽を確認するため、最新バージョンの「macOS High Sierra」(10.13.2)を搭載するMacで、App Storeの設定のパスワードフィールドに適当に文字を入力してみた。すると、本当にロックを解除できた。


提供:CNET

 だが、その後はどうなのだろうか。解除に成功したことで、米CNETはそのコンピュータのApp Store設定を完全に制御できるようになった。それは必ずしもパスワードの迂回と聞いて想像するような万能の権力ではない。さらに、米CNETがこれを試したとき、コンピュータ自体はロックされていなかった。ロックされていたのは、App Storeの設定だけだ。

 分かりやすく説明すると、この脆弱性を利用するためには、攻撃者は、疑うことを知らないMacユーザーがログアウトせずにコンピュータから離れるのを待たなければならない。その後、急いでそのコンピュータのところまで行って、App Storeの設定を開き、適当な文字を入力してログインし、変更を加える必要がある。ここでようやく、攻撃者はコンピュータがソフトウェアアップデートを自動でチェックするのを停止するなどの、卑劣な行為ができるようになる。

 米CNETが、まだ一般にはリリースされていない次期バージョンのHigh Sierra(10.13.3)を搭載するMacでテストしたところ、この問題は修復されていた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集