「macOS」でまたパスワード迂回の不具合--システム環境設定の「App Store」

Laura Hautala (CNET News) 翻訳校正: 編集部2018年01月11日 10時44分

 パスワードなしでログインできてしまう「Mac」のバグがまた発見された。しかし、前回発見された同様のバグと異なり、今回のバグを悪用されても、コンピュータに少しいたずらされるだけで済みそうだ。


提供:CNET

 このバグが発見されたことで、Appleのソフトウェアの全体的な品質について、懸念の声が上がるのは避けられないだろうが、この脆弱性を悪用されても、コンピュータを完全に乗っ取られることはない。

 2つのバグを比較してみよう。2017年11月、ユーザー名として「root」を使用すれば、誰でもパスワードなしでMacにログインできることが明らかになった。これは、コンピュータ内のデータを泥棒や詮索好きな友達、家族、同僚から守る最も基本的な防衛線を無力化する深刻な脆弱性だ。米国時間2018年1月8日、パスワードフィールドにどのような文字を入力しても、システム環境設定の「App Store」設定のロックを解除できることが報告された。ただし、管理者としてログインした場合に限られるという。

 Appleにコメントを求めたが、すぐに回答を得ることはできなかった。

 米CNETは、この報道の真偽を確認するため、最新バージョンの「macOS High Sierra」(10.13.2)を搭載するMacで、App Storeの設定のパスワードフィールドに適当に文字を入力してみた。すると、本当にロックを解除できた。


提供:CNET

 だが、その後はどうなのだろうか。解除に成功したことで、米CNETはそのコンピュータのApp Store設定を完全に制御できるようになった。それは必ずしもパスワードの迂回と聞いて想像するような万能の権力ではない。さらに、米CNETがこれを試したとき、コンピュータ自体はロックされていなかった。ロックされていたのは、App Storeの設定だけだ。

 分かりやすく説明すると、この脆弱性を利用するためには、攻撃者は、疑うことを知らないMacユーザーがログアウトせずにコンピュータから離れるのを待たなければならない。その後、急いでそのコンピュータのところまで行って、App Storeの設定を開き、適当な文字を入力してログインし、変更を加える必要がある。ここでようやく、攻撃者はコンピュータがソフトウェアアップデートを自動でチェックするのを停止するなどの、卑劣な行為ができるようになる。

 米CNETが、まだ一般にはリリースされていない次期バージョンのHigh Sierra(10.13.3)を搭載するMacでテストしたところ、この問題は修復されていた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]