ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > Acquisition of Macintosh(1)
«  |  Articles トップへ  |  »

ファイルシステムがAPFSになった事による変更点

 

macOS High Sierra(10.13) で正式にMac端末に搭載されたファイルシステム、APFS(Apple File System)。従来のHFS+を刷新しての導入となったこのファイルシステムは、何が変わったのか、またフォレンジック調査において今後対策を考えなければならないであろう部分について、書いていきたいと思います。

 

今回取り上げる項目は以下の4つ!

HFS+とAPFSの構造

暗号化

タイムスタンプ

Copy-on-Write

 

では、早速見ていきましょう!

 

 

 

 

 

HFS+とAPFSの構造


まずAPFSの構造について少し。APFSは、従来のHFS+と比較すると大きく様変わりをした構造になっているのが特徴です。HFS+の構造は知っての通り、ボリュームの管理やディスク暗号化機能「FileVault2」を可能にするCoreStorageというシステムを搭載していました。このシステムもMacが発売された初期からの機能ではなく、途中のMac OS X Lionから搭載されたものになります。

 

このCoreStorageですが、物理領域とファイルシステムの仲介役として働き、複数のパーティションを含む論理ボリュームの作成や、「FileVault2」の行うボリューム全体の暗号化にも一役買っていた存在です。

 

以下の画像はHFS+の構造です。

 

SierraのTerminal(コマンド:diskutil list)

 

 

disk0がMacの内蔵ディスクを表し、その物理ディスク内のパーティションはdisk0s*という形式で番号が振られています(赤枠)。CoreStorageはここからdisk0s*を論理ボリュームとして再マウントする形でデータを見れるようにしています。この時、物理ディスクにFileVault2で暗号化が掛けられていた場合、CoreStorageが論理ボリュームとして再マウントする際に復号が行われており、結果、私たちは暗号化や復号を意識することなくデータを見たり、平文での保全が出来ています。

 

一方、最新のAPFSについて見てみましょう。
以下の画像はmacOS High Sierra(APFS)をインストールした端末のパーティション一覧です。

 


High SierraのTerminal(コマンド:diskutil list)

 

 

画像を見ても分かる通り、APFSではCoreStorageが撤廃され、新しく【APFS Container】というシステムが導入されました。こちらもdisk1として再マウントされていますが、CoreStorageのように論理ボリュームで行われるのではく、Containerとしてマウントされています。これにより、保全を行う際、従来のHFS+のようにAPFSのContainerだけを保全してしまうと、展開に必要なデータを省いて保全してしまうため解析が出来なくなってしまいます。そのため、APFSの保全を行い場合は、論理ボリュームではなく、物理ディスク全体(disk0)の保全を行うようにしてください。

 

 

 

 

 

暗号化


暗号化について大きく変化した点は、CoreStorageを介すことがなくなったことでしょうか。APFSではファイルシステム自身に暗号化の機能が搭載されました。これにより、データをファイルシステムが暗号化することを可能にしています。

 

HFS+の時は、CoreStorageを介して復号した論理ボリュームを保全することによって平文のデータを取得することが出来ましたが、APFSでは復号を行っても平文のデータを所得することは出来ません。

 

 

 

 

 

タイムスタンプ 


APFSからタイムスタンプ が所持する時間の単位が変更になり、ナノ秒単位まで記録するようになりました。今までのHFS+では秒単位までしか記録していませんでしたが、APFSでナノ秒単位になったことによって今後タイムラインなどを作成する際により精密なものが作れるようになるでしょう。また、人為的に作成されたか、システムが自動(時間指定)で作成したかも判断できるでしょう。これら調査の場面によっては有効になります。

 


High Sierraのエラーレポートに表記されているタイムスタンプ 

 

 

 

 

 

Copy-on-Write


APFSで新たに搭載された機能になりますが、この概念自体は全く新しいものではありません。元々はソフトウェアのプログラミングなどで使われていましたが、最近はファイルシステムに適用されるようになってきました。

この技術の根底にある考え方は非常に簡単です。ユーザーがファイルのコピーを作成する場合、2つのファイルが作成される必要はありません。代わりに、2つの異なる場所からリンクされた1つのファイルを作成するだけです。こうする事によって、実際のストレージにはコピーが1つしか作成されず、ビット毎に全く同じデータを書き込み時間も短くなります。実際のコピーを行うタイミングは、オリジナルまたはコピーしたアイテムが更新されたタイミングとなります。

 

文字で書くだけでは理解しづらいと思いますので、画像でも見ていきましょう。

  • 単一のセクタを使ってストレージに保存されているフォレンジック刑事の画像ファイルがあります。画像ファイルはPC上にあり、データが記録されているセクタを参照していることになりますね。

 

単一セクタに画像ファイルが保存されている

 

 

  • もし、HFS+などのCopy-on-Write方式を使っていないファイルシステムでコピーを行った場合、ファイルシステムはこの画像ファイルのコピーを別セクタに作成します。これは、ストレージにコピーが完了するための領域と時間の両方が必要になります。実際に容量の大きいものをコピーする場合、相応の時間がかかるのは皆さんも経験したことがあるかと思います。

 


既存ファイルシステムでコピーを行なった場合のデータの動き

 

 

  • Copy-on-Writeの場合、ユーザーに別々の画像ファイルとして表示されますが、裏ではストレージセクタ上の同じファイルを参照しています。これにより、データ領域を無駄に使用しない且つ高速なコピーを可能にしています。

 


High Sierra(APFS)でコピーした場合のデータの動き

 

 

もし、コピーを作成した後にユーザーが1つ目のファイルを削除すると、参照情報は削除されて、2つ目のファイルが同じ場所を指し、唯一のファイルとして表示されます。

 

これをフォレンジック調査の観点から考えた場合、厄介な側面があります。
このファイルシステムを解析すると複数のファイルが同じソースを指しているかもしれません。そのため、重複しているファイルの除外をうまく行わないと調査に影響が出てくる可能性があります。

 

いかがでしたでしょうか?
まだまだAPFSに変わったことによる変更点はありますが、その中でもフォレンジック調査に影響が出てくるだろうポイントをピックアップしてみました。各種フォレンジック調査ツールも現在対応を急いでいる部分ではありますので、引き続きAPFS関連の情報も扱っていこうと思います。