iOS、macOSで“致命的バグ”連発 結局アップデートはするべき?

12月8日(金)9時0分 ITmedia NEWS

 2017年11月29日、Macの最新OS「macOS High Sierra」(macOS 10.13)において、ちょっと目を疑うような不具合が明らかになりました。ユーザー設定画面で鍵のマークをクリックすると表示される、管理者権限を要求するユーザーID/パスワード画面に、パスワードを空にして「root」と入力してクリックを何度かすると、認証が通ってしまうというものです。
 まず、「root」というユーザーの意味を説明しましょう。macOSでは利用者のユーザー名以外にも、管理のためのユーザーが存在します。UNIXを出自とするmacOSには、何でもできる権限を持つユーザーとして「root」が存在しますが、通常はこのユーザーを意識する必要はありませんし、このユーザーでログインすることもありません。
 ところが今回の「不具合」では、そもそも使うことがないためにパスワードが設定されていないこのrootユーザーに、設定画面からログインできてしまうというものです。rootでログインができてしまうと、ほとんどのセキュリティ機構は意味を成さなくなってしまい、macOS内でのありとあらゆる行動が許されてしまいます。
 ある意味「元から存在するIDと、(空だけど)正しいパスワードを入力したらログインできた」という、多少厄介な不具合ではあります。ひょっとしたら、「システム内に存在するけど、ログインさせたくないユーザーでログインできてしまう」という、似たような不具合を持つWebサイトや社内システムも多いのではないかとも思いました。とはいえ、この不具合はかなり危険で、存在してはならないものです。
 Appleもこの不具合の深刻さは理解しており、この問題が明らかになってから24時間以内に修正のアップデートをリリース。macOS High Sierraを利用している方は漏れなくこのアップデートを適用し、かつ「再起動」を行っておいてください。

●今回の不具合、最大の問題点は

 この不具合を受け、ネット上では「またアップルか」「だからアップデートはしちゃいけない」などの投稿が多数見られます。今回の不具合は決して褒められるものではない、致命的なものでした。ただ今回気になったのは、macOS不具合の「発表のされ方」です。
 今回の問題は、トルコのソフトウェア開発者レミ・オーハン・アージン氏によるツイートから明らかになりました。Appleのサポートに向け、このような不具合がある、と問いかけています。
 これが結果的にAppleを動かし、24時間以内の修正につながったわけではありますが、その間、macOSは危険にさらされてしまいました。本来ならばこのような影響の大きい問題は、「直接ベンダーに報告し対処を依頼する」か「第三者機関が間を取り持ち、修正を促す」という仕組みで対処すべきであり、いきなり誰もが見られるSNSやブログなどで発表することは危険です。
 日本においては、JPCERT コーディネーションセンターが発見者から脆弱性報告を受け、該当のベンダーに連絡を行う仕組みがあります。Webサイトが被害に遭っている、脆弱性を見つけたという場合は、JPCERTに連絡すべしということを覚えておきましょう。もしあなたがシステムエンジニアなら、JPCERTからの連絡が来たら適切に対処するようにしてください。
 とはいえ、個人的には今回の問題は「深刻だが、対処可能」であると感じていました。まず気にしたのは「ネットワーク経由でこのrootにログインができるか」。実はこの答えは「Yes」で、画面共有を明示的にオンにしている場合は、同様の方法でroot権限を奪われる可能性があります。
 逆にいうと、画面共有をオフにし(標準状態では最初からオフでした)、あとはMacを常に肌身離さず、放置しないこと。そして適切に画面をロックしていれば、ある程度の対処ができると考えられます。センセーショナルな不具合があったとしても、対処方法が明らかになっていれば、そこまで騒ぐことでもないということは覚えておきましょう。

●脆弱性のないOSやアプリはない、だから結局「アップデートすべし」

 この不具合が発覚するのと前後して、iOSにおいて「12月2日になった途端に再起動を繰り返す」という不具合も明らかになっています。こちらは特定のロジックを持つアプリをインストールしているときに発生するらしいとされていますが、詳細は明らかになっていません。家計簿アプリをリリースするZaimはその挙動を解析、問題があると思われる部分を推測しています。
 これを受け、アップルは最新の「iOS 11.2」を急きょリリース。このバージョンで修正が行われているようです。iOSを利用する方は、こちらもアップデートしておきましょう。
 これらを踏まえても、やはり以前のコラムと同様「やっぱりいつかはアップデートをすべし」と言いたいと思います。先のコラムでは「心配ならば1週間待とう」としていましたが、今回の問題発覚は9月末のリリースから3カ月経過してやっと発見されました。正直3カ月待つのはあまりお勧めしないのですが……。
 もしかしたら記憶の片隅にあるかもしれませんが、今回問題になったiOS 11.1、macOS High Sierra 10.13.1では、大きな話題になった無線LANの脆弱性「KRACKs」が修正されています。その点を踏まえると、脆弱性が存在しないアプリなどない今、やっぱりアップデートは「いつかはすべし」という結論は変わりません。
 今回のように「不具合が発覚したあと、24時間以内に対処がされた」ということを考えると、アップデートを当てないリスクと、当て続けるリスクはさほど変わらないのではないかと思います。もちろん、Appleには猛省してもらい、テストをしっかりしてリリースをしてもらいたいとは思っていますが。

ITmedia NEWS

この記事が気に入ったらいいね!しよう

iOSをもっと詳しく

BIGLOBE
トップへ