非常にまずいことになっている。最新版のHigh Sierra ? 10.13.1 (17B48)を搭載したMacに誰でもログインできる。ユーザー名のフィールドに"root"と打ち込むだけでいい。これは大問題だ。Appleは数時間のうちにもバグを修正するはずだが...よく聞いていただきたい。このバグが修正されるまでは絶対にMacを放置しておいてはいけない。
このバグは設定から簡単にアクセスできる。ユーザーがセキュリティーとプライバシーなど設定の重要な部分を変更しようとしたときに開いてユーザー名とパスワードを打ち込む場所だ。
ハッキングもなにもない。ユーザー名の代わりに "root"とタイプするだけでいい。 パスワードには何も入れる必要はない。ログインボタンを何度かクリックするでログインできる。ただしMacのユーザーはこれを自分のマシンで実験してはいけない。"root"アカウントを作成することになり、その後すぐに削除するのでなければ、悪意ある第三者を利することになる。
このバグを発見したのは Software Craftsman Turkeyのファウンダー、Lemi Orhan Erginのようで、Twitterでこのことを警告した。
繰り返す必要もないだろうが、これは最悪のバグだ。ログインに成功してしまえば後はマシンのオーナーとして何でもできる。管理者を追加する、セキュリティーの設定を変える、本来のオーナーを締め出す、とやりたい放題だ。バグが修正されるまでMacを目の届かないところに置いてはならない。
われわれが実験したところではどのパネルからでもユーザー名を入力する窓であれば"root"と打ち込みさえすればMacは即座に新しいシステム管理者アカウントを作成するようだ。ただし10.13(17A365)マシンでは動作しない。しかしこちらには各種のつまらぬプレインストールソフトが入っていて悪さをする可能性がある。
当面の対策としては"root"でログインし、なんでもいいからパスワードを設定しておくのがよいだろう。しかしやはり安全なのは誰が触るかわからないような環境にデバイスを放置しないことだ。
われわれはAppleにコメントを求めているが、向こうでも大忙しだろうと思う。進展があればすぐにフォローする。ともあれMacを放置しないよう。
ソース
macOS High Sierraに「最悪のバグ」、パスワードなしでログイン可能 - Engadget 日本版
http://japanese.engadget.com/2017/11/28/macos-high-sierra/