何が変わったのか
Raspberry Pi OSの最新版となるバージョン6.2が、セキュリティ面で大きな方針転換を打ち出した。これまでデフォルトユーザー(piユーザーまたはセットアップ時に作成するユーザー)には、sudo コマンドをパスワードなしで実行できる設定が与えられていた。利便性優先の設計判断だったが、それが長年「セキュリティホール」として指摘され続けてきた。
バージョン6.2では、この設定が変更され、sudo を使う際にはパスワード入力が必要になった。たった一行の /etc/sudoers 設定の変更に見えるが、Raspberry Piを使う現場にとってはインパクトの大きな転換点だ。
なぜこれが重要か
「デフォルトで安全」の原則
Raspberry Piは教育・ホビー用途だけでなく、産業用IoTデバイス、ネットワーク機器の代替、ホームサーバーとして本番環境に使われているケースが増えている。にもかかわらず、デフォルト設定が「パスワードなしで何でもrootできる」というのは、ゼロトラストの観点から見れば大問題だった。
攻撃シナリオは単純だ。不正なスクリプトが実行された場合、あるいはSSHへの不正アクセスが成功した場合、パスワードなしsudoがあればそのままシステム全体を掌握できる。物理的なアクセスが必要なデバイスでも、ネットワーク越しに操作されているRaspberry Piなら話は別だ。
IoT時代のエンドポイントセキュリティ
Raspberry Piベースのデバイスが増える中で、「設定を変えていないから大丈夫」という安心感は危険だ。むしろ「デフォルトのままだから危ない」という認識が正しい。今回の変更は、その認識を製品レベルで是正した意味がある。
実務での活用ポイント
既存環境の確認
現在稼働中のRaspberry Pi OSを使っている場合、まず以下を確認したい。
出典: この記事は Raspberry Pi OS 6.2 locks down security with a major change to sudo access の内容をもとに、筆者の見解を加えて独自に執筆したものです。