ウイルス検体を業務で公開、なぜ逮捕?:セキュリティクラスタ まとめのまとめ 2017年11月版(3/3 ページ)
2017年11月のセキュリティクラスタ、キーワードは「macOS」「share」「国際会議」でした。新バージョンのmacOSで、パスワードを入力しなくてもログインできることが突然明らかになり、衝撃が走りました。Share監視サービスを行っていたセキュリティ企業の社員が、そのShareでウイルスを共有していたとして逮捕。毎年恒例の「CODE BLUE」と「AVTOKYO」では、興味深い各講演の合間にセキュリティクラスタの人々が交流を深めていました。
macOS High Sierraにパスワードなくrootログイン可能な脆弱性
11月も終わりに近づいた29日の朝、最新の「macOS High Sierra」に大きな脆弱性が見つかりました。rootユーザーならパスワードなしでログインできるという内容が、あるTwitterアカウントからAppleのアカウントに対してツイートされたのです。
画面共有やVNCなどからでも、同様にrootユーザーがパスワードなくログイン可能でした。つまり、設定によってはインターネットから攻撃を受けたり、公衆無線LANに接続すると攻撃を受けたりしてマシンを乗っ取られる危険性があったのです。
ログインを試すだけ、実行が非常に簡単な脆弱性だったため、High Sierraユーザーの多数が実際に試して、(自分のマシンを)攻撃できたと報告していました。一度では成功せず、二度三度試さないと成功しないこともあったため、原理を不思議がるユーザーや、「ガチャ」に例えるツイートもありました。
実はAppleの考えた新しいデフォルトだ、乗り換えが進んでいないHigh Sierraへの注目を促すためにわざとやった、というツイートの他、Windowsでも以前はパスワードのないAdministratorユーザーが有効だと指摘するツイートもありました。
rootユーザーのパスワードを設定すればよいという対策があり、翌11月30日には早速修正版が公開されました。自動修正が有効になっていれば特に操作することなくアップデートが進み、乗っ取られる危険はなくなりました。すぐに修正されたので実際に攻撃を受けたアカウントはなかったようでした。それでも大騒動になりました。
Twitterを使ってゼロデイ脆弱性を誰にでも見えるようにツイートしたことに対して、タイムラインではけしからんという反応もありました。これに対し、おかげで早く修正されてよかったという意見も出ました。
この他にも11月のセキュリティクラスタは次のような話題で盛り上がっていました。12月はどのようなことが起きるのでしょうね。
- Uberから5700万人分の個人情報流出、口止めに金銭を支払っていたことも判明
- 「OWASP Top10 2017」公開
- NHKスペシャルでIoTのセキュリティ問題が取り上げられる
- 公衆無線LANへのアクセスは今後、全てパスワードが必要になる?
- またまたStruts2の脆弱性が公開
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.