11月も終わりに近づいた29日の朝、最新の「macOS High Sierra」に大きな脆弱性が見つかりました。rootユーザーならパスワードなしでログインできるという内容が、あるTwitterアカウントからAppleのアカウントに対してツイートされたのです。
画面共有やVNCなどからでも、同様にrootユーザーがパスワードなくログイン可能でした。つまり、設定によってはインターネットから攻撃を受けたり、公衆無線LANに接続すると攻撃を受けたりしてマシンを乗っ取られる危険性があったのです。
ログインを試すだけ、実行が非常に簡単な脆弱性だったため、High Sierraユーザーの多数が実際に試して、(自分のマシンを)攻撃できたと報告していました。一度では成功せず、二度三度試さないと成功しないこともあったため、原理を不思議がるユーザーや、「ガチャ」に例えるツイートもありました。
実はAppleの考えた新しいデフォルトだ、乗り換えが進んでいないHigh Sierraへの注目を促すためにわざとやった、というツイートの他、Windowsでも以前はパスワードのないAdministratorユーザーが有効だと指摘するツイートもありました。
rootユーザーのパスワードを設定すればよいという対策があり、翌11月30日には早速修正版が公開されました。自動修正が有効になっていれば特に操作することなくアップデートが進み、乗っ取られる危険はなくなりました。すぐに修正されたので実際に攻撃を受けたアカウントはなかったようでした。それでも大騒動になりました。
Twitterを使ってゼロデイ脆弱性を誰にでも見えるようにツイートしたことに対して、タイムラインではけしからんという反応もありました。これに対し、おかげで早く修正されてよかったという意見も出ました。
この他にも11月のセキュリティクラスタは次のような話題で盛り上がっていました。12月はどのようなことが起きるのでしょうね。
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.