最新の『macOS High Sierra』に誰でも管理者ログインできてしまう重大なバグが発覚

9月26日に提供が開始されたHigh Sierra。Apple公式サイトより

 最新のmacOS『macOS High Sierra(ハイシエラ)』に、パスワードなしで誰でも簡単に管理者としてログインできてしまう重大なバグ(脆弱性)が発見され、海外を中心に騒ぎとなっています。

 問題のバグは「root」というアカウント名を入力すれば、パスワードを入力することなくそのまま端末に管理者としてログインして設定の変更(新規ユーザを追加する、既存ユーザの設定を変えるなど)ができてしまうというものです。

 どのようなバグなのか実際に試してみました。

ゲストユーザから簡単にログインできる

 まず、macを起動してゲストユーザとしてログインします。

 次に「システム環境設定」から設定の変更に必要なカギのアイコンをクリックし、ユーザ名とパスワードを要求されたらユーザ名に「root」と入力。その後、「ロックを解除」ボタンを何度かクリックします。

ユーザ名に「root」と入力。筆者キャプチャ
ユーザ名に「root」と入力。筆者キャプチャ

 これだけで本来であればシステム管理者しか解除できないロックが外れ、後はやりたい放題できるようになります。

パスワードを入力していないのにカギが外れ、ロックが解除された。筆者キャプチャ
パスワードを入力していないのにカギが外れ、ロックが解除された。筆者キャプチャ

 もちろん既存ユーザのアカウントでログイン済みのMacでも同様のことができます。大変、危険なバグだと言えます。

対処法はゲストユーザのオフかrootへのパスワード設定

 この問題はすでにAppleに報告されているためそう遠くないうちに修正が行われると思いますが、現時点での対処法は以下の2点が推奨されています。

  1. ゲストユーザでのログインを許可しない
  2. rootアカウントにパスワードを設定する

 対処法が分からないという方は、修正されるまでご自身のmacが他人に触れられないよう管理をしっかりしておくと良いでしょう。

11月30日10時25分追記

 本日未明にセキュリティアップデートが配布され、このバグは修正されました。基本的に自動インストールされますが、気になる方はMacのApp Storeからアップデートのタブをチェックされてください。