セキュリティブログ「Defence in Depth」に、OS X Lionのユーザーパスワードは、最初は認証しなくても変更できるようになっているのが問題だと指摘してあります。
つまり、誰かがあなたのパソコンでターミナルを使ったら、初回はオリジナルのパスワードを入力しなくてもパスワードの変更ができてしまうということです。他の多くのソースでは、物理的にパソコンにアクセスするには、これと同じことが要求されると報告されていますが、Defence in Depthでは、この問題の対処法について説明しています。
管理者権限のあるユーザーがSafariでネットしているとします。その際に悪意あるJava AppletのあるWebサイトをうっかり見てしまうと、ユーザーが気づかないうちにJava Appletが実行するのを認めてしまうことになります。
すると、Appletはアタッカーに接続を始め、フルアクセスできるようにしてしまいます。アタッカーがシステムにアクセスしている間に、ユーザーの権限を制限してしまうわけです(管理者権限がなくなります)。これはアタッカーがやろうとすることを制限するものの、上記のようにアタッカーの方が優位に立っている危うい状態となり、現在のユーザーパスワードは容易に変更できてしまいます。
基本的に、このリスクの深刻度は、その人がどれくらい気にするかによって変わってきます。例えば、このことを本当に知らない人に自分のパソコンを使わせたとしたら、特に何も起こらないか、すべてのJave appletを受け入れるかになるので、そういった場合は多少用心したほうがいいかもしれません。不正が行われないように常に注意しているとしたら、過剰に心配する必要はないでしょう。
これはウィルスに冒されるというよりも、自分のことを知っている誰かに襲われるという感じです。結局アタッカーは、その脆弱性を利用するためにユーザー名を知る必要があり、選択次第でほとんどの場合は被害を免れることができますが、被害を受けてしまうこともあるかもしれません。おそらく、まだネットにはびこる匿名ハッカーには騙されていないと思うので、以下の方法を知っておけば、自分のパソコンを守ることができるでしょう。
■Lionをロックする
Mac初心者には、以下の方法でパソコンにリモートアクセスするのは難しいかもしれません。
システム環境設定を開き、「ユーザーとグループ」をクリックします。認証のためのロックをクリックし、ログインオプションを選択。自動ログインのドロップダウンメニューでオフに設定します。
ユーザーとグループで、ゲストユーザーをクリックします。そこにチェックボックスがあるので、「ゲストがこのコンピュータにログインすることを認める」のチェックを外します(大抵チェックが入っていると思われます)。
ここでの問題とは本来は関係ありませんが、「ゲストが共有フォルダに接続することを認める」のチェックも同様に外すことが可能です。
こちらもシステム環境設定の、セキュリティ&プライバシーのセクションで、一般のタブをクリックし「スリープの後、またはスクリーンセーバが開始した後、〇〇〇パスワードを要求」にチェックをします。〇〇〇の部分はプルダウンメニューになっていて、「すぐに」や「○分後に」が選べます。
セキュリティ&プライバシーのセクションで、「システム環境設定でカギのアイコンがある設定にアクセスする時に管理者権限パスワードを要求」にチェックをします。
■危険のあるアプリケーションにアクセスしないためにペアレンタルコントロールを使う
どんな管理者アカウントも、技術的には不正利用のリスクがありますが、それを修正するのにペアレンタルコントロールを使うことができます。
やり方は、システムにあるすべてのアカウントでペアレンタルコントロールを有効にし、危険のあるアプリケーションを無効にするだけでOKです。詳しい手順は以下の通り。
- システム環境設定でペアレンタルコントロールを選択します。
- 自分のユーザーアカウントを選びます(後で他のアドミン権限アカウントも選びます)。
- アプリのタブを選び、許可するアプリのリストにある「ターミナル」と「X11」の2つの名前の横にあるチェックボックスを外して、どちらも無効にします
これだと自分のアクセスも制限されるので、当然ながら理想的な方法ではありません。しかし、パソコンに疎い友だちや家族が使う際には使えるオプションです。
一般的にこの不正権限の認証は、大量の人が使うような状況にはあまり関係がありませんが、自分のパソコンを守るために取るセキュリティ措置としては、やっても損はないと思います。
Adam Dachis(原文/訳:的野裕子)
