ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > Acquisition of Macintosh(1)
Articles トップへ  |  »

Acquisition of Macintosh(1)

Macintosh

モバイル端末の次のシリーズとなる今回は、Macintoshの保全や解析に関するあれこれを書いていきます!

 

Macを対象にしたウイルスも少しずつ出てきている今日この頃。

つい先日にも、公式サイトからダウンロードしたソフトに、マルウェアが混入していたというニュースもありました。人気アプリにマルウェアを仕込んで正規ルートからダウンロードさせて感染させるサプライチェーン攻撃。正規ルートなのだから大丈夫と安心してしまいますよね、普通。

サプライチェーン攻撃:ソフトウェアやハードウェアを製造する過程で製品にマルウェアを感染させる手法)

 

もし、このマルウェアなどに感染したMacや情報漏洩が疑われるMacの調査をすることになったらどうしますか?

Macの調査は非常に厄介です。保全や調査も一筋縄では行きません。更に、Windowsに比べるとデータが格納されている構造も大きく違いますし、調査手法や関連知識も中々習得しにくい現状・・・というのも追い討ちを掛けてくる始末。

 

そんなMacの案件が来た時のために、Macの保全や解析について役立つ情報を提供できればと思っています。

Macの保全で分解は困難!?

 

 

フォレンジック調査を行う際、真っ先に行う事は保全作業ですよね。フォレンジックの基本です。Macの案件が来た際も同様に保全作業を行います。

一般的なPC(デスクトップ・ノートパソコン)の場合、内蔵のHDD/SSDを取り外し、専用の保全ツールを使用してコピーを作成していきます。

 

弊社では専用の保全ツールとして、HDDコピー装置"Falcon"を使用して保全を行っています。

 

 

もちろん、一昔前のMacまでは同じようにHDDを取り外して保全する事が出来ました。

 

 

しかし、現在販売されているiMacやMacBook, MacBook Proに関しては内蔵ストレージを取り外しての保全が非常に困難です。また、2016年モデルでは基板に半田やエポキシなどで固められていますので、一筋縄では行きません。

 

では、どのようにして保全を行えばいいのでしょうか?

 

 

 

Macの保全は分解せずに!

 

 

分解はリスクが高いとなると、それ以外の方法が必要になってきます。保全を行わずに解析対象を直接調査するのはフォレンジックにおいてはご法度です。では、どうするのか?

 

ずばり、「ターゲットディスクモード」を使うか、USBなどから起動する専用の保全ツールを使うかです!

「ターゲットディスクモード」に関しては、ご存知Macに標準で搭載されている機能になります。「Tキー」を押しながら起動する事により、Mac自体をひとつのHDDとして扱えるようになります。

「ターゲットディスクモード」でMacを起動したら、ハードウェア型、もしくはソフトウェア型の保全ツールを使用していきます。

 

※この場合、保全対象になるMac端末のデータが書き変わらないように、書込み防止装置を介すことを推奨します。ターゲットディスクモードはMacの標準機能であって、フォレンジックのための機能ではありませんので注意して下さい!


 

■ ターゲットディスクモードから保全用ハードウェアを使用しての保全手順

使用ツール:MacBook Pro Late 2016, Forensic Falcon, USB-C to Thunderbolt2 アダプタ

Thunderbolt2 to FireWire アダプタ, FireWireケーブル

 

1. Mac端末を「Optionキー」を押しながら電源を入れ、"Startup Manager"を起動

2. "Startup Manager"の画面で「Tキー」を長押しし、「ターゲットディスクモード」に移行

3. 画面にUSBやThunderboltのマークが表示されたらFalconを起動

※Falconの左部、ソース側に接続する

4. Falcon上に保全対象のHDD情報などが表示されるまで待機

5. 情報が表示されたら、コピー先のHDDやコピー形式などを選択し、保全を実行する

 

 

そして、もうひとつの方法がUSB/CD・DVDブートで保全する方法。

通常、電源を入れるとHDD/SSDの中にインストールされているOSを起動しに行きます。

OSを起動してしまうと最終ログインなどの時間情報が書き変わったりと、保全対象を汚してしまいます。

なので、起動する際にHDD/SSD内のOS以外のデータから起動するように変更します。

WindowsのPCの場合だと、「Escキー」や「F2」、「F12」などを起動時に押し、BIOSを立ち上げます。

 

しかし、MacにはこのBIOSがなく、代わりにEFI(Extensible Firmware Interface)が採用されています。

Macの場合は、WindowsのBIOSの起動とは違い、「Optionキー」を押しながら電源を入れ、"Startup Manager"を起動します。ここで起動用のディスクを選択します。

 

弊社では、Macの保全を行う際にはMac専用保全ツール"MacQuisition"を使用して保全を行っています。

 

 

■ USB/CD・DVDブートを使用したMacの保全

使用ツール:MacBook Pro Late 2016, MacQuisition2017R1

 

1. 電源が完全に落ちているMac端末に"MacQuisition"のドングルを接続

2. フタを開けた直後に"Optionキー"を長押しし、"Startup Manager"を起動

※MacBook Pro 2016からシャットダウン後であっても、ディスプレイのフタを開くと勝手に電源オンになるという機能が追加されています。フタを開けた直後にOptionキーを長押しするか、電源ボタンを長押しするかを予め決めておく事を推奨します。

3. MacQuisitionボリュームを選択して起動

※基本的に最新版を起動する。最新版でブートに失敗した場合に古いバージョンを選択。

4. "MacQuisition"を起動したら"Data Collection"や"Image Devices"を選択

5. イメージ形式、保全先などを設定して、保全を実行する

 

 

ここまでMac端末の保全について書きましたが、保全を行う際に気を付けなければならない点があります。

a. MacBook Pro 2016年以降では自動起動するようになっている

b. ファームウェアパスワードが掛けられている場合、起動時のキーコンビネーションが無効化される

c. 最新のMacBook(2017年10月時点)はUSB-Cポートだけを搭載している

d. Macの充電が切れる際に入るセーフスリープモード

e. ターゲットディスクモードで保全する際は書込み防止装置が必須

 

以上の5点がMacを保全する際、特に注意しなければならない項目になります。

これでMacの保全作業において、弊社が行っている基本的な手法は終わりとなります。

次回は、上記の5点の注意点の中で今回の記事で取り上げていない項目について書いていこうと思います。