macOS High Sierra 10.13.1の脆弱性を開発者のLemi Orhan Erginが発見した。システム環境設定の「ユーザとグループ」から錠前のボタンをクリックし、環境設定のロックを解除するためにユーザー名とパスワードを入力する場面で、ユーザー名に「root」と入力すると、パスワードを入力しなくてもロックが解除される。ロックが解除されるとゲストユーザーを自由に設定できるようになり、誰でもログイン可能になる。アップルでは問題を把握しておりソフトウェアアップデートの準備を進めている。現状の対策方法は以下のとおり。
●現状できる対策
(1)アップル公式パッチを待つこと
(2)ゲストアカウントへのアクセスを無効にすること
(3)システム環境設定からルートパスワードを変更すること
ルートパスワード変更方法は以下のとおり。
1.Appleメニュー >「システム環境設定」の順に選択し、「ユーザとグループ」(または「アカウント」) をクリック
2.鍵のアイコンをクリックして、管理者の名前とパスワードを入力
3.「ログインオプション」をクリック
4.「接続」(または「編集」) をクリック
5.「ディレクトリユーティリティを開く」をクリック
6.「ディレクトリユーティリティ」ウインドウの 鍵のアイコン をクリックして、管理者の名前とパスワードを入力
7.ディレクトリユーティリティのメニューバーから、以下のように選択
※「編集」>「ルートパスワードを変更」
アップル広報は以下のようにコメントしている(英文を編集部で翻訳)。
「我々はこの問題に対処するためにソフトウェアアップデートに取り組んでいます。ルートパスワードをセットすることでMacへの許可のないアクセスを妨げます。パスワードの変更方法はこちらをご覧ください( https://support.apple.com/ja-jp/HT204012)。 ルートユーザーがすでに許可されている場合、パスワードが空白に設定されないようにするため『ルートパスワードを変更』の指示にしたがってください」
“We are working on a software update to address this issue. In themeantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/ja-jp/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.”