Raspberry Pi用のオペレーティングシステム「Raspberry Pi OS Bullseye」が更新され、デフォルトの認証情報を悪用する攻撃を防ぐために、デフォルトの「pi」ユーザーが削除されたことがわかりました(公式ブログ、BleepingComputer)。
従来OSのインストーラーはパスワードのみを要求していましたが、最新のリリースでは、OSをインストールする際にユーザー名とパスワードを入力してアカウントを作成するように変更されます。
以前は、キャンセルを押すとデフォルトのpi/raspberry認証情報を使用することができたものの、このステップをスキップすることもできなくなっています。ユーザーに「pi」、パスワードに「raspberry」と設定することも不可能ではないものの、実行すると警告が表示されます。
Raspberry Piをヘッドレスで動作させたい場合、イメージを書き込む前に設定ダイアログからユーザー名とパスワードを設定するか、ユーザー名と暗号化パスワードのペアを含むuserconfファイルをブートパーティションに追加します。既存の環境はアップデートの影響を受けませんが、「sudo rename-user」を実行することで、デフォルト以外の認証情報に切り替えることができます。
英国などいくつかの国では、インターネットに接続されたデバイスにデフォルトのログイン情報を持たせることを禁止する法律が導入されており、今回の変更はそれらの規制に対処するためのものでもあると考えられます。
