macOS High Sierra の設定に関する注意喚起を公開。rootユーザの設定を確認し、適切なパスワードの設定を！^MM https://t.co/eQQmEBuqZD

— JPCERTコーディネーションセンター (@jpcert) November 29, 2017

電車の中でTwitterをなんとなく眺めていたら、とんでもない注意喚起情報が目に飛び込んできました。macOS High Sierraでは管理者アカウントであるrootユーザを悪用できる問題が指摘されているとのことです。

High Sierraにアップグレードした途端にGitやSkitch(新しいタブで開く)などで「人柱」をさせられましたが、今度はrootユーザを悪用できるバグですか…orz。ここ数日、High Sierraの「尻拭き作業」ばかりやっているような気がします（泣

macOS High Sierraの重大なバグへの対策方法

ですがぼやいてもrootユーザを悪用されるとなると、放置できる問題ではありません。自分なりに対策として3つの対策を考えてみました。

1.rootユーザのパスワードを適切に設定する

これはJPCERTコーディネーションセンターで推奨されている回避策です。確かにLinuxサーバーと同様にrootユーザに対して、適度に複雑なパスワードを設定することは望ましい回避策であると思います。

• macOS High Sierra の設定に関する注意喚起 JPCERT/CC(新しいタブで開く)

JPCERTコーディネーションセンターのページで、macOSでrootユーザのパスワードを適切に設定する記事のURLが紹介されています。

• Mac でルートユーザを有効にする方法やルートパスワードを変更する方法 Apple(新しいタブで開く)
• Macでrootユーザを有効にし、macOS 10.13 High Sierraでパスワード無しにrootアカウントでログインできる不具合を修正する方法。 | AAPL Ch.(新しいタブで開く)

2.Macを第三者触れさせない

この方法はTechCrunch Japanで紹介されています。確かに正当な持ち主以外が接触しなければ、悪意のある第三者がrootユーザでもってログインすることはできなくなりますね。

• 速報：High Sierra Macに重大バグ――当面Macを放置してはいけない | TechCrunch Japan(新しいタブで開く)

3.High Sierraにアップグレードしない

これからHigh Sierraにアップグレードすることを検討されている方は、Apple社がバグを修正したバージョンをリリースするまで、アップグレードすることを控えた方が得策でしょう。

JPCERTの注意喚起のページを確認すると、このように記述されています。

JPCERT/CC では、本問題による悪用を macOS High Sierra 10.13.1 にて確認しており、macOS Sierra 10.12.6 では悪用できないことを確認しています。

Sierraでは今回のバグに関する問題は発生していないようです。それにしてもgitといい、Skitchといい、今回のrootといい、OSのことで頭を悩ますのは勘弁してほしいものです。