OS X Lionのパスワードが平文で保存される――アップデートで問題発生

2月に公開された「OS X Lion v10.7.3」のセキュリティアップデートで、ユーザーのパスワードがプレーンテキストで保存される状態になっていることが判明したという。

[鈴木聖子，ITmedia]

　米Appleが2月に公開した「OS X Lion v10.7.3」のセキュリティアップデートで、ホームフォルダの情報暗号化に使われるFileVaultのデバッグオプションが手違いで有効にされ、ユーザーのパスワードがログファイルにプレーンテキストで保存される状態になっていることが判明したという。

　この問題は、セキュリティ研究者が発見して5月5日付で暗号化情報のメーリングリストに投稿した。Appleは7日の時点でまだ問題を修正していないとみられる。

　セキュリティ企業の英Sophosによれば、問題のログファイルはディスクにアクセスできる者なら誰でも読むことができ、パスワードを取得してディスク上の暗号化された領域にログインし、重要な情報を入手できてしまう恐れがある。物理的にディスクにアクセスする以外に、マルウェアを使ってこれを実行することも可能だとしている。

　影響を受けるのは、Snow LeopardでFileVaultを使っていたユーザーがLionにアップグレードした後もFileVaultを使い続けている場合とされる。フルディスク暗号化を実装したFileVault 2はこの問題の影響を受けないという。

　Sophosでは、例えこの問題が修正されたとしても、バックアップが取られたプレーンテキストのパスワード情報を確実に消去するのは難しいと指摘。ユーザーは問題が修正された後にパスワードを変更した方がいいとアドバイスしている。