不具合のあったmacOS 10.13 High SierraでAPFS暗号化ボリュームのパスワードが平文のままログに表示され残ってしまう不具合が発見され、研究者らが注意を呼びかけ。

スポンサーリンク

 ディスクユーティリティにパスワードが表示されるバグがあったmacOS 10.13 High Sierraに、APFS暗号化ボリュームのパスワードが平文のままログに残ってしまう不具合が発見され、セキュリティ研究者らが対応を求めています。詳細は以下から。

Appleの新しいファイルシステムAPFS

 Appleが2017年10月にリリースしたmacOS 10.13 High SierraはAppleの新しいファイルフォーマットAPFSが採用され、それに伴いディスクユーティリティやコマンドラインツールがアップデートされましたが、このディスクユーティリティにAPFS暗号化ディスクを作る際に設定したパスワードが、パスワードのヒントして平文のまま表示される不具合が発見され、Appleは急遽追加アップデートをリリースしましたが、

暗号化されたAPFSのパスワードがディスクユーティリティに表示されてしまう不具合

どうやらこの不具合は追加アップデートを適用するだけでは終わっていなかったようで、米SANSのセキュリティ研究者Sarah Edwardsさんによると、macOS 10.13で問題のあったディスクユーティリティを利用しAPFS暗号化ボリュームを作成すると、その際に利用したパスワードがヒント欄だけではなく、ログにまで残ってしまう事が確認されたそうです。

I’ve been updating my course (Mac and iOS Forensics and Incident Response) to use new APFS disk images (APFS FTW!) and came across something that both incredibly useful from a forensics perspective but utterly horrifying from a security standpoint. Screenshot below of my course disk image.

Uh Oh! Unified Logs in High Sierra (10.13) Show Plaintext Password for APFS Encrypted External Volumes via Disk Utility.app — mac4n6.com

スポンサーリンク

newfs_apfsが問題

 この不具合はnewfs_apfsコマンドが原因のようで、newfs_apfsにはマニュアルに記載されていない”-S”オプション(フラグ)が存在し、このオプションはパスワードをパラメーターとして利用しており、

ディスクユーティリティのパスワード問題

 実際に確認してみましたが、macOS 10.13.0(追加アップデート済)でディスクユーティリティを利用してAPFS暗号化ボリュームを作成すると、以下の様にmacOSのシステムログに設定したパスワード”hogehoge”が残っているのが確認できました。

クリックで拡大

 この不具合はmacOS 10.13.3までのアップデートで修正されたようですが、macOS 10.13を利用してAPFS暗号化ボリュームを作成していると半永久的にそのパスワードがログに残っている可能性があるためセキュリティ研究者らは注意を呼びかけているので、macOS 10.13からアップデートをしてmacOSを利用している方はシステムログにパスワードが保存されていないかチェックしてみて下さい。

:)