「Raspberry Pi OS」の最新リリースで、デフォルトのユーザー名が削除されている。
これまで、デフォルトのユーザー名「pi」とパスワード「raspberry」が設定されており、新たなPiデバイスの設定が簡単に行えるようになっていた。その一方で、広く普及しているPiデバイスは、遠隔地の攻撃者によるパスワードスプレー攻撃などで容易にハッキングされる危険性があった。
Raspberry Pi Tradingの上級プリンシパルエンジニアSimon Long氏は、「これまでは、Raspberry Pi OSのインストールすべてで『pi』というデフォルトユーザー名を設定していた。このこと自体がそれほど大きな脆弱性になるわけではない。有効なユーザー名が分かったからといって、システムへの侵入がそれほど容易になるわけではない。パスワードも必要であり、それ以前に何らかのリモートアクセスを確立しておく必要もある」と説明している。
「それでも、ブルートフォース攻撃が少しばかり容易になる可能性があるため、インターネットに接続されたデバイスにデフォルトのログイン認証情報を設定すること禁じる法律を導入しようとしている国もある」(Long氏)
英国では、IoTデバイスのメーカーがデフォルトのユーザー名とパスワードを設定した状態で製品を出荷することを禁じる法案の成立に向けた審議がなされている。コロナ禍で国民のインターネット接続デバイスへの依存が高まったことから、英国家サイバーセキュリティセンター(NCSC)も「製品セキュリティ及び電気通信インフラ(PSTI)法案」への支持を表明している。
Raspberry Pi OSの最新リリースでは、デフォルトのユーザー名「pi」が削除され、新たに書き込まれたRaspberry Pi OSイメージを初めてブートする際、新しいウィザードでユーザー名を作成する必要があるとLong氏は説明した。ただ、この新たなプロセスが既存のドキュメントすべてに反映されているわけではないとしている。
「これ(デフォルトユーザー名の削除)は最近のほとんどのOSで実施されている。『pi』というユーザー名が存在することを前提とした一部のソフトウェア(やドキュメント)で問題を引き起こす可能性はあるが、現時点でこういった変更を実施するのは妥当だと感じている」(Long氏)
それでも、デスクトップの設定時にウィザードが必要不可欠となるため、新たなRaspberry Piデバイスの設定作業でユーザーの手順に変更が生じるのは間違いない。
「ユーザーアカウントを作成しなければデスクトップにログインできず、アカウントの作成にウィザードが必要となるため、ウィザードの利用はもはやオプションではなくなっている。そのため、ウィザードはデスクトップのアプリケーションとして動作するのではなく、初回ブート時の専用環境内で動作するようになった」(Long氏)
ウィザードそのものに大きな変更はない。大きく変わるのは、これまで新しいパスワードの入力を促されていたが、ユーザー名とパスワードの入力が求められるようになったことだ。
ユーザー名に「pi」、パスワードに「raspberry」を設定することはまだ可能だが、それは適切ではないとの警告メッセージが表示されるという。
「『pi』ユーザーを必要とするソフトウェアがあるかもしれないため、われわれは完全に独善的に強制はしていないが、別のものを選択するよう強く推奨する」とLong氏は述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。