Ubuntu 26.04、sudoで「****」が出るようになる―46年間の"何も表示しない"が終わった理由

sudoでパスワードを打っても何も出ないのはなぜか

Linuxのターミナルでsudoを実行してパスワードを入力すると、何も表示されません。カーソルも動かない。キーを打っているのに画面は無反応。

「壊れているのか」と思った人は多いはずです。初めてLinuxを触る人がここで詰まる光景は、もはや通過儀礼でした。

でもこれは壊れているのではなく、1980年に意図的にそう設計された仕様です。パスワードの長さすら画面に出さないことで、背後から覗き見る「ショルダーサーフィング」を防ぐ。ニューヨーク州立大学バッファロー校で生まれたsudoは、最初からそういう思想で作られていました。

それから46年。この仕様が、ついに変わります。

Ubuntu 26.04で何が変わったのか

Ubuntu 26.04 LTS（コードネーム「Resolute Raccoon」、2026年4月23日リリース予定）では、sudoのパスワード入力時にアスタリスク（*）が表示されるようになります。

見た目の変化はたったこれだけです。でも、Unix/Linuxの世界でこれは46年間誰も変えなかったデフォルト設定を変えたということを意味します。

変更の直接のきっかけは、sudo-rsというプロジェクトがpwfeedbackオプションをデフォルトで有効にするコミットをマージしたことです。2026年2月中旬のことでした。

sudo-rsとは何か―Rust製のsudoが生まれた理由

sudo-rsは、C言語で書かれた従来のsudoをRustで完全に書き直したプロジェクトです。開発しているのはTrifecta Tech Foundation。

なぜ書き直す必要があったのか。sudoはLinuxで最も権限の高いプログラムの1つです。あらゆるコマンドをroot権限で実行できる。もしsudo自体に脆弱性があれば、一般ユーザーがいきなりシステム全体を乗っ取れてしまいます。

実際、従来のC版sudoには過去に深刻な脆弱性が見つかっています。Rustはメモリ安全性を言語レベルで保証するため、バッファオーバーフローのような脆弱性を構造的に防げます。

Canonical（Ubuntuの開発元）は2025年10月のUbuntu 25.10からsudo-rsを標準のsudo実装として採用しています。Ubuntu 26.04 LTSはこれを引き継いだ形です。

なぜ46年間「何も表示しない」が続いていたのか

1980年、sudoが生まれた時代のコンピュータ端末は、今のノートPCとはまったく違うものでした。大学の共有端末室や研究室に物理的な端末が並んでいて、複数人が同じ空間でキーボードを叩いていました。

そういう環境では、隣の人が画面を覗き見るのは簡単です。パスワードの文字数がわかれば、パスワードの推測がわずかに容易になる。だから何も表示しない。「何文字打ったかすら教えない」というのは、その時代においては合理的なセキュリティ対策でした。

この設計思想は、Unixの世界で暗黙のルールとして受け継がれてきました。誰かが「これが正しい」と決めたわけではなく、最初からそうだったからそのまま続いた。46年間。

でも2026年の現実はどうか。多くの人は自宅の個室でノートPCを使っています。背後から覗き見る人はいません。一方で、GUIのログイン画面やWebサービスではパスワード入力時にドットやアスタリスクが表示されるのが当たり前です。ターミナルだけが「何も表示しない」という、矛盾した状態がずっと続いていました。

変えていいのか―セキュリティとUXのトレードオフ

この変更に対して、コミュニティの反応は割れています。

批判側で最も象徴的だったのは、GitHubに提出されたバグレポートのタイトルです。「sudo-rsが自分より年上の歴史的セキュリティ対策を破壊した」。Ubuntuはこれを「Won't Fix（修正しない）」として閉じました。

興味深いのは、元祖sudoの作者であるTodd C. Miller本人がこの変更に対して「反対しない」とコメントしていることです。「Ubuntuのようなディストリビューションでは、sudoが初心者の最初の壁になることが増えた。昔とは状況が違う」という趣旨でした。

もう1つ、セキュリティの観点で見落とせない事実があります。

2020年、旧C版sudoのpwfeedback機能にバッファオーバーフローの脆弱性（CVE-2019-18634）が見つかりました。pwfeedbackが有効な環境では、一般ユーザーがパスワードなしでroot権限を奪取できるという深刻なものでした。Linux MintやElementary OSはデフォルトでpwfeedbackを有効にしていたため、影響を受けています。

sudo-rsはRustで書き直されているため、この種のバッファオーバーフローは言語レベルで発生しません。つまり「pwfeedbackを有効にしても安全」と判断できる技術的な裏付けがあるわけです。旧C版で危なかった機能を、Rust版で安全にしたうえでデフォルト有効にした。この順番は理にかなっています。

元に戻したい場合の設定方法

「アスタリスクを出したくない」「従来の何も表示しない動作に戻したい」という場合は、以下の手順で無効化できます。

注意：sudoersファイルの編集は必ずvisudoコマンドを使ってください。直接テキストエディタで編集すると、書き間違えた場合にsudoが使えなくなり、システムにログインできなくなる危険があります。visudoは保存前に文法チェックを行うため、この事故を防げます。

Ubuntu Community Hubでは、あらかじめ設定ファイルを/etc/sudoers.d/に用意しておくべきという提案も出ています（LP: #2142864）。

sudoの46年史―「何も見えない」から「****」まで

← スワイプで移動

「何も見えない」のが普通だった世界の終わり

映画『マトリックス』（1999年）で、ネオは黒い画面に緑色の文字が流れるターミナルを操作していました。あの画面にパスワードのアスタリスクは出ていなかったはずです。出ていたら、サイバーパンクの雰囲気が台無しだったでしょう。

でも現実のLinuxは映画ではありません。2026年の今、初めてターミナルを開いた人がsudo apt installを打って、パスワードを求められて、何も表示されなくて、「壊れている」と思って諦める。この光景はこれまで何百万回と繰り返されてきました。

sudo-rsの開発者たちは「Rustで書き直したのだから、デフォルトも見直していい」と判断しました。元祖sudoの作者も反対しなかった。46年間の伝統を守ることよりも、2026年のユーザーにとって合理的なデフォルトを提供することを選んだ。

賛否はあるでしょう。でもこれは「セキュリティを犠牲にした」のではなく、「46年前のセキュリティ判断を、今の環境で再評価した」結果です。CVE-2019-18634のような脆弱性が生まれないRust実装だからこそ、踏み切れた変更でもあります。

気に入らなければDefaults !pwfeedbackで戻せます。でも、その設定を入れる前に、一度あの****を見てみてください。46年ぶりの光景です。

参照元

• 1. Phoronix ― sudo-rs Breaks Historical Norms With Now Enabling Password Feedback By Default（2026年2月26日）
• 2. GitHub ― Enable pwfeedback (show asterisks) by default · Issue #1300
• 3. GitHub ― Enable pwfeedback by default · commit fb51e41
• 4. Ubuntu Community Hub ― Sudo-rs enables pwfeedback by default for Resolute Raccoon
• 5. XDA Developers ― Sudo-rs just broke 46 years of security tradition, and users aren't happy
• 6. OMG! Ubuntu ― Ubuntu 26.04 Shows Asterisks When You Type Your sudo Password
• 7. NVD ― CVE-2019-18634
• 8. sudo.ws ― Buffer overflow when pwfeedback is set in sudoers
• 9. Heise Online ― sudo-rs shows password asterisks by default – break with Unix tradition
• 10. sudo.ws ― A Brief History of Sudo