Mac OS X Lionのコマンドラインユーティリティの1つに欠陥があり、攻撃者が現在のパスワードを知らなくてもユーザーのパスワードを変更できる可能性がある。しかし、これはどれほど大きな懸念事項なのだろうか?
問題の問題は、Defence in Depthブログの著者であるPatrick Dunstan氏によって初めて明らかにされました。このコマンドラインプログラムは、dsclディレクトリサービスノードとやり取りするための多目的ユーティリティです。ところが、このプログラムはパスワードのハッシュ版を取得できるだけでなく(悪意のある攻撃者が総当たり攻撃でパスワードを解読しやすくなります)、さらに深刻なことに、現在のパスワードを必要とせずにユーザーのパスワードを変更できることが分かりました。
もちろん、注意点もあります。この攻撃が成功するには、攻撃者は標的のアカウントがログインしているコンピュータに物理的にアクセスするか、アカウントにリモートアクセスできる必要があります(リモートアクセスの場合は、攻撃者が既にアカウントのパスワードを知っている必要があるため、この脆弱性は意味をなさないことになります)。しかし、ダンスタント氏によると、この制限は悪意を持って作成されたJavaアプレットによって回避できるとのことです。また、評判の悪いMacアプリでも同じことが可能だと考えられます。
テストでは、現在のユーザーのパスワードは、現在のパスワードを入力しなくても変更できることを確認できました。しかし、一部の情報源が主張しているように、同じマシン上の他のユーザーアカウントのパスワードを変更することはできませんでした。ただし、現在ログインしているアカウントに管理者権限がある場合、そのパスワードを変更すると、攻撃者にMacの昇格権限を与えることになるため、注意が必要です。
マックワールドはアップル社に連絡を取ったが、同社はこの脆弱性を認識していたかどうかや、いつ修正プログラムを提供する予定かについてのコメント要請には応じなかった。
では、Appleからのパッチを待つ間、ユーザーは何をすべきでしょうか?もちろん、疑わしいウェブサイトへのアクセスや信頼できないプログラムのダウンロードを避けるなど、安全なコンピューティングの原則を常に実践する必要があります。さらに、スクリーンセーバーのパスワード設定や、マシンから離れる際には必ず画面をロックするなど、マシンへの物理的なアクセスを保護するための対策を講じることも重要です。
これらの常識的な対策だけでは不十分な場合は、ダンスタン氏のブログ記事で、アプリケーションの権限を変更して、 OSのスーパーユーザー( )dsclのみが実行できるようにすることを推奨しています。これを行うには、コマンド「 」を使用し、プロンプトが表示されたら管理者パスワードを入力してください。これにより不正アクセスは防止されるはずですが、正当な理由でプログラムを使用しているユーザーにとっては支障となる可能性があります。rootsudo chmod 100 /usr/bin/dscl
現時点では、この脆弱性が悪用されたという報告はないため、Macユーザーの懸念レベルはそれほど高くないと考えられます。とはいえ、自分自身を守るための対策を講じることは賢明であり、今回のケースでは比較的簡単に実行できます。
