編集部からのお知らせ
記事まとめPDF「日本のスタートアップ」
お勧め記事まとめPDF「マイクロサービス」

「Raspberry Pi OS」、最新リリースでデフォルトユーザー「pi」削除--セキュリティ強化

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2022-04-11 12:15

 「Raspberry Pi OS」の最新リリースで、デフォルトのユーザー名が削除されている。

 これまで、デフォルトのユーザー名「pi」とパスワード「raspberry」が設定されており、新たなPiデバイスの設定が簡単に行えるようになっていた。その一方で、広く普及しているPiデバイスは、遠隔地の攻撃者によるパスワードスプレー攻撃などで容易にハッキングされる危険性があった。

 Raspberry Pi Tradingの上級プリンシパルエンジニアSimon Long氏は、「これまでは、Raspberry Pi OSのインストールすべてで『pi』というデフォルトユーザー名を設定していた。このこと自体がそれほど大きな脆弱性になるわけではない。有効なユーザー名が分かったからといって、システムへの侵入がそれほど容易になるわけではない。パスワードも必要であり、それ以前に何らかのリモートアクセスを確立しておく必要もある」と説明している。

 「それでも、ブルートフォース攻撃が少しばかり容易になる可能性があるため、インターネットに接続されたデバイスにデフォルトのログイン認証情報を設定すること禁じる法律を導入しようとしている国もある」(Long氏)

 英国では、IoTデバイスのメーカーがデフォルトのユーザー名とパスワードを設定した状態で製品を出荷することを禁じる法案の成立に向けた審議がなされている。コロナ禍で国民のインターネット接続デバイスへの依存が高まったことから、英国家サイバーセキュリティセンター(NCSC)も「製品セキュリティ及び電気通信インフラ(PSTI)法案」への支持を表明している。

 Raspberry Pi OSの最新リリースでは、デフォルトのユーザー名「pi」が削除され、新たに書き込まれたRaspberry Pi OSイメージを初めてブートする際、新しいウィザードでユーザー名を作成する必要があるとLong氏は説明した。ただ、この新たなプロセスが既存のドキュメントすべてに反映されているわけではないとしている。

 「これ(デフォルトユーザー名の削除)は最近のほとんどのOSで実施されている。『pi』というユーザー名が存在することを前提とした一部のソフトウェア(やドキュメント)で問題を引き起こす可能性はあるが、現時点でこういった変更を実施するのは妥当だと感じている」(Long氏)

 それでも、デスクトップの設定時にウィザードが必要不可欠となるため、新たなRaspberry Piデバイスの設定作業でユーザーの手順に変更が生じるのは間違いない。

 「ユーザーアカウントを作成しなければデスクトップにログインできず、アカウントの作成にウィザードが必要となるため、ウィザードの利用はもはやオプションではなくなっている。そのため、ウィザードはデスクトップのアプリケーションとして動作するのではなく、初回ブート時の専用環境内で動作するようになった」(Long氏)

 ウィザードそのものに大きな変更はない。大きく変わるのは、これまで新しいパスワードの入力を促されていたが、ユーザー名とパスワードの入力が求められるようになったことだ。

 ユーザー名に「pi」、パスワードに「raspberry」を設定することはまだ可能だが、それは適切ではないとの警告メッセージが表示されるという。

 「『pi』ユーザーを必要とするソフトウェアがあるかもしれないため、われわれは完全に独善的に強制はしていないが、別のものを選択するよう強く推奨する」とLong氏は述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]