macOSに“パスワードなしでrootになれる”脆弱性、悪用されたら何が起きていたのか？：「Twitterで手口公開」に批判も

Appleの「macOS High Sierra」に、完全な管理者権限をもつユーザーとしてシステムにログイン可能になる脆弱性が見つかった。既に修正済みのこの脆弱性を攻撃者が悪用すると、どのような被害につながったのか。

macOS High Sierraに存在していた脆弱性の脅威とは

　AppleのクライアントOS「macOS High Sierra」に存在していた脆弱（ぜいじゃく）性は、攻撃者が一切の認証手順を回避し、完全な管理者権限をもつユーザーとしてログインすることさえ可能にするものだった（現在は修正済み）。

　このセキュリティ問題が脚光を浴びたのは、決済システムを手掛けるトルコのベンダーiyzico Payment Servicesのアジャイルソフトウェア開発者、レミ・オーハン・アージン氏が、ミニブログ「Twitter」へ2017年11月28日に投稿したツイート（つぶやき）が発端だった。

　アージン氏はTwitterでAppleに対し、標的とするシステムに物理的にアクセスできる人物なら誰であれ、「ログインボタンを何回かクリックすると、パスワードが空欄のままでも、管理者権限を持つユーザーである『root』としてログインできてしまう」という認証回避問題を認識しているかどうかと問い掛けた。

　この問題が指摘されたのは初めてではなかった。アージン氏はオンラインメディア「Medium」への寄稿の中で、2017年11月23日に同氏の勤務先のインフラチームから、macOSのこの脆弱性のことを知らされたと説明。Apple製品の開発者コミュニティー「Apple Developer Forums」では、同月13日からこの問題に言及する投稿があったことを明らかにした。

　「責任ある開示のガイドラインに従わなければ、あらゆる人にとってのリスクを増大させる」。変更管理製品ベンダーTripwireの製品管理・戦略担当副社長、ティム・アーリン氏はこう語り、アージン氏のTwitterへの投稿を批判する。今回のような情報が一般に公開されれば「特に重大な脆弱性の場合、悪意ある攻撃者の間で可能な限り広範囲に情報が拡散されるのは確実で、パッチが公開される前に攻撃を急ごうという気を起こさせる」（アーリン氏）。

　セキュリティ組織SANS Instituteのインターネット早期警戒プロジェクト「Internet Storm Center」（ISC）のセキュリティコンサルタント、ザビエル・マーテンズ氏は、この問題について警戒を促す中で、当面の対策としてrootユーザー用のパスワードを設定する方法を紹介した。

　Appleは2017年11月29日、macOSのこの問題を修正するためのパッチを公開し、クレデンシャル（ID／パスワードなど認証に必要な資格情報）の検証にロジックエラーがあったと説明。この問題は「クレデンシャルの検証を強化することで解決した」という。

脆弱性を突かれた後に起こること