目 次
11月30日、Appleは「macOS High Sierra」の管理者ログインをゲストユーザでもパスワード無しで入れる脆弱性のバグが
発生していましたが、1日で修正プログラムを発表したようです。
実際試すと管理者権限で入ることが出来たので驚きましたが、これはコワイ問題ですよね。
対処が早かったので良かったのですが、これが数日間放置されていたりすると・・・やはりコワイですね。
ゲストユーザーからroot権限で入れる問題
この画像はゲストユーザで「鍵」を解除できたときの画像です。
ゲストユーザでログインし「システム環境設定」→「ユーザとグループ」→「ロックを解除」すると解除ができる・・・正確に言えば、出来たのです。
試したところ「root」「パスワードなし」で「ロック解除」を6回繰り返すと、あらまぁ・・・ロック解除されました。
一度ロックして再度解除してみると、今度は2回でロック解除されました。
rootユーザーとはOSに対してすべての管理者権限が付与されたアカウントのことで主にUNIX系のPCなどで使用することが多いです。
WindowsでいうところのAdministratorのようなものです。
ということは管理者権限でパソコンに入れるので、パソコン内を覗いたり、ファイルを書き換えたりと、パソコン触りたい放題になるということなのです。
これはコワイですね。
Appleの素早い対応でセキュリティアップデート
このセキュリティの脆弱性が現れるのはmacOS High Sierra(macOS10.13.1)で、macOS Sierra(macOS 10.12.6)以前のOSは影響を受けないということです。
Appleは24時間以内に2017-1としたセキュリティアップデートで対応しました。
自動アップデートで対応できますが、不安な方はアップデートを行ってください。
アップデート後のビルド番号は17B1003となっていました。
Macのビルド番号の確認
Macのビルド番号の確認方法ですが マーク→「このMacについて」→「バージョン」をクリックすると表示されます。
ゲストユーザにログインさせない
「自分しか使っていないMacでゲストユーザは使わないよ」って人はゲストユーザーのログインを許可しなければ良いのです。
「システム環境設定」→「ユーザとグループ」→左下のロック解除→「ゲストユーザ」→「ゲストにこのコンピュータへのログインを許可」のチェックを外す→鍵をロックする。
ログインの画面からゲストユーザのアカウントアイコンが消えます。
rootユーザを有効にし、パスワードをかける
何かあるといけませんので、rootユーザは無効にしておいたほうが良いかと思いますが、パスワードを設定した上で有効にしておくという手もあります(くれぐれもパスワードは忘れないようにして下さい)。
有効にするには「システム環境設定」→「ユーザとグループ」→①左下のロック解除→すぐ上の②「ログインオプション」→③「接続」→④「ディレクトリユーテリティを開く」
⑤「編集」→⑥「ルートユーザを有効にする」
⑦「パスワード設定」します。
再度ログインすると、「あなたのユーザアカウント」と「その他のユーザ…」と出てきますので「その他のユーザ…」を選択しアカウントに「root」パスワードは作成したパスワードを入れるとログインできます。
この設定を行っていれば、外部からrootユーザに働きかけてもパスワードを問われますので、セキュリティは守れると思います。
りんごG3からのひと言
このような脆弱性は絶対あってはならないバグですし、問題が修正できたから良いってことでもないと思います。
早めに対処出来たから良いというわけではありません。
特に今回のように簡単にMac内に入られるバグなんてありえないでしょ!
新しいOSが出てくるたびにセキュリティの脆弱性が指摘されているということ事態が問題ですし、ユーザから不信が募ります。
確かにコンピュータというものはどういったところで脆弱性が出てくるのかわからないことも多々あります。
もちろん、セキュリティに「絶対」は無いので、自分で守れる最低限のことはやっておきましょう。
しっかし、このようなバグは・・・・ヤメてくれぇ!!
