ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > Acquisition of Macintosh(1)
«  |  Articles トップへ  |  »

Acquisition of Macintosh(2)

今回も、前回に引き続きMacの保全について書いていきます。

 

前回の記事ではMacを、ソフトウェアやハードウェアを使って保全する方法を紹介しました。

その最後にMacを保全する時に気をつけるべきポイントを5つあげました。

1. MacBook Pro 2016から自動起動するようになっている

2. ファームウェアパスワードが掛けられている場合、起動時のキーコンビネーションが無効化される

3. 最新のMacBook(2017年10月時点)はUSB-Cポートだけを搭載している

4. セーフスリープモードに入っているかどうか

5. ターゲットディスクモードで保全する際は書込み防止装置が必須

 

この5つですね。いくつかは記事内でも触れていますが、今回はもう少し詳しくどういう部分に気をつけるのかを書いていこうと思います。

 

 

 

  • Macの自動起動

MacBook Pro 2016 modelで搭載されたMacの自動起動。これはMacBook Proだけに搭載されている機能になっています。

通常、ノートPCなどの電源を切る場合シャットダウンを行い、ディスプレイを閉めます。

そして、また使用する際にはディスプレイを開き、電源ボタンを押します。

しかし、MacBook Pro 2016以降の端末の場合、ディスプレイを開くだけで電源がオンになるようになっています。

 

この機能によって起こる保全の際の障害がいくつかあります。

1. ディスプレイを開いた後、目を放した隙にOSが起動している

2. “Startup Manager”を起動するのに失敗する

 

このような障害が発生します。非常に神経質にならざるを得ないのがMacの保全です。

これらの対策としては以下の通りです。

1. 目を離さない

2. ディスプレイを開く前に操作の順序を確認しておく
  Ex.)ディスプレイを開いたらすぐに電源を長押しするなど

 

非常にシンプルではありますが、これが最善手となります。操作手順を予め決めておく事は保全を行う上でのミスや漏れなどを防ぐ面もあるので、慣れてきたからといって雑にならないように気をつけましょう。

 

 

  • ファームウェアパスワード


予め設定した起動ディスク以外の内蔵/外付けストレージデバイスからの起動を阻止したり、Macに設定されているキーコンビネーションを無効にしてくれるものです。

 

この設定がONになっている場合、Macでキーコンビネーションを使用する際にファームウェアパスワードの入力を求められる画面が表示されてしまいます。また、Mac起動時にOptionキーを押して立ち上がる、”Startup Manager”も同様にファームウェアパスワードの入力を求める画面がされます。

つまり、このファームウェアパスワードがわからない限りは、USB BootやターゲットディスクモードといったOSを起動せずに保全する方法が使えないので十分な注意が必要です。

 

図1:ファームウェアパスワードの要求画面

 

ファームウェアパスワードを設定していた場合、起動時にファームウェアパスワードを求める画面が表示されますが、念の為”Startup Manager”が立ち上がるようOptionキーを押して、Macを立ち上げることを推奨します。

 

 

  • MacBookで採用されているUSB-TypeCポート


現在Appleのサイトから購入できるMacBook/MacBook ProはUSB-C規格のThunderbolt3がポートとして採用されています。加えて、MacBook Proは左右2ポートずつの4ポートを搭載しているのに対し、MacBookにはポートが1つしか搭載されていません。故に、保全をする際には各種変換アダプタが必要になります。

図2:MacBookのUSBポート

図3:MacBook ProのUSBポート

 

例として、MacBookを弊社取扱Falcon®-NEOのUSB Boot Client機能を使用して保全する場合、MacBookにはUSB-TypeCのポートが1つしかないので、USB-TypeCをUSB3.0に変換するアダプタやハブと、USBからEthernetケーブルに変換するアダプタが必要になります。また、ポートが1つしかない関係上、データ送信と給電を同時に行います。そのため、通常の給電率よりも電力が下がり、保全途中に保全対象のMacの電源が落ちてしまうケースが稀に起こる可能性がありますので注意してください。※この現象はツールによるものではなく、Mac本体の仕様によるものです。

 

 

  • セーフスリープモード


セーフスリープモードとは、Windowsのハイバネーション機能のようなものです。Macがスリープモード中に充電がなくなった場合、メモリ上に展開されているデータをストレージ上にコピーして保護する機能です。
この機能により、Macがスリープモード中に完全にシステム終了したとしても、情報が失われるのを回避することができます。

 

このコピーされたデータは、起動ディスクの/private/var/vm/sleepimageに保存され、調査官はこのファイルをメモリダンプファイル(RAMキャプチャ)として使用することもできます。

また、セーフスリープモードに入っているMacですが、電源に接続し、充電が始まると同時にMacが立ち上がります。
この時、Macの画面上にプログレスバーが出現し、sleepimageのデータをメモリ上に再展開し始めます。

もし保全対象のMacでこのプログレスバーが出現した場合、この時点ですぐに電源を落とすか、OSが完全に起動するのを待ってLIVEで保全するかを選択することになります。

 

 

図4:セーフスリープモードの読み込みを表すバー

 

更に注意するべき点は保全対象のMacにFileVault2が掛かっている場合です。
FileVault2のパスワードが判っている場合は、前者の電源を落とす方法を選択した方が良いのですが、
もし判らない場合は、電源を落とすことによってFileVault2が再度掛かってしまうことを考慮しておく必要があります。

 

 

  • ターゲットディスクモード


ターゲットディスクモードとは、Macが標準で搭載しているデータ転送用のモードになります。このモード状態にMacがなっていると、Mac本体を外付けHDDと同じ状態として運用できます。これにより、他のMacを接続して、ターゲットディスクモードで起動中のMacからファイルを取り出したり、ファイルを転送したりすることが可能です。

つまり、データの転送ができるので、保全としても活用できそうですね!

 

しかし、ここで1点注意が必要になります。このターゲットディスクモードはフォレンジックの観点からAppleが実装したものではないので、書込防止の機能は当然ありません。

なので、そのままMacに接続してしまうと、データが書き変わる恐れがあります。

データの書き変えを防ぐために、ターゲットディスクモードで保全する場合は書込防止装置あるいは書込防止ソフトウェアを使用して運用するようにしてください。

 

前回の記事でも書きましたが、ターゲットディスクモードで保全する手順は以下の通りです。

1. 「ターゲットディスクモードにしたいMac」を「Option」キーを押しながら起動して、”Startup Manager”の画面を表示します

2. 「T」キーを長押しします。

3. 画面にThunderboltもしくはUSBのマークが表示されます。

4. Macと保全用装置をケーブルで接続する
 ※この時、画面に表示されている端子タイプ以外を接続すると認識しません

5. 保全用装置を操作して保全を行う

 

 

前回に引き続きMacの保全に関することをまとめていきました。

今後は、保全したMacのデータに関して興味深い部分や、知っておきたい部分などを題材として扱っていこうと思います。