ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > Acquisition of Macintosh(1)
«  |  Articles トップへ  |  »

macOSの暗号化と新たに搭載されたチップ


前回はmacOS High Sierra (10.13) にアップデートされたことによってHFS+(Hierarchical File System Plus)からAPFS(Apple File System)にファイルシステムが変更されました。その変更された点に関して、フォレンジック調査の注意点になりそうなところをピックアップしてみました。

 

今回の記事では、APFSに変更されたことに伴い、強化された暗号化FileVault2のシステムとiMac ProやMacBook Pro 2018モデルで搭載された制御チップ"T2 チップ"に関して言及していこうかと思います。

 

 

macOSを暗号化するFileVault


Mac端末のデータを保護するための暗号化システムとして耳にしたことがある方も多いと思います。
現在のHigh SierraではFileVault2が搭載されていますが、初めて搭載されたのはMac OS X v10.3 Pantherになります。その時の名称がFileVault1(レガシーFileVaultとも)でした。機能自体も現在のFileVault2とは異なり、ユーザーのホームディレクトリのみをAES-128を用いて暗号化しており、このホームディレクトリは暗号化ファイルとして保存され、ユーザーがログインするタイミングでマウントされる仕様でした。暗号化したイメージは搭載当初 .sparseimageディスクイメージの形式を取っていましたが、OS X 10.5 Leopardで下の画像の .sparsebundleディスクイメージの形式に変更ました。

 

[図1: FileVault1が掛けられた状態のファイル構造(OS X 10.5以降)]

 

その後、Appleは暗号化方式を再設計して、OS X 10.7 Lionの時にFileVault2をリリースしました。FileVault2にアップデートされたことによって、暗号化する対象が大きく変更されました。FileVault1ではユーザーのホームディレクトリ全体の暗号化でしたが、FileVault2では「ディスク全体」を暗号化するようになりました。Appleが言っているこの「ディスク全体」は、ハードディスクなどの「物理ディスク」を指しているのではなく、OSがインストールされている「ボリューム全体」を指しています。ここは文字通りに捉えてしまうと混乱するところではありますね。そのため、OSがインストールされている領域かつFileVault2暗号をONにしたボリューム以外は暗号化されていないということになります。

 

 

[図2:ディスクユーティリティによる暗号化有無の確認]

 

 

[図3:ターゲットディスクモード で接続した際のボリュームの扱い]

 

上記の画像は、一つの内蔵ドライブを2つに分け、どちらにもmacOS Sierraをインストールしてあります。そして、"Sierra"という名前のボリュームだけFileVaultをONにしてあります。この状態でターゲットディスクモードを用いて別のMac端末に接続しているの状態なのが「図3」になります。暗号化されていない"Forensic"という名前のボリュームはすんなりとマウント出来ていますが、暗号化されている"Sierra"ボリュームはロックの解除を求められています。つまり、先にも述べた通りFileVault2は物理ディスク全体の暗号化をしているのではなく、FileVaultがONにされたボリューム全体の暗号化を行なっているということになります。

 

 

FileVault暗号を掛けているシステム


先ほどまではFileVaultの暗号化範囲について述べましたが、今度はFileVaultがどういう仕組みで暗号化しているのかを見ていきたいと思います。こちらは先ほどよりも保全作業時に特に注意すべき
部分になります。

 

まずはHFS+のFileVault2から。HFS+では、ファイルシステム自体に暗号化をサポートする機能は搭載されていません。実際のHFS+ボリュームは、データを守るためにCoreStorageというシステムを使って暗号化されたセキュリティ層に包まれています。CoreStorageシステムとは、macOSに搭載されているボリュームをブロックレベルで暗号化する管理システムになります。これもOS X 10.7 Lionの時に実装されました。CoreStorageの中にある暗号化されたボリュームを復号する際、新しい論理ボリュームが作成されます。この論理ボリュームは復号されたHFS+と未割り当て領域が含まれています。つまり、暗号化されていたボリュームが新しい論理ボリュームとして、平文で再マウントされた状態になります。そのため、この論理ボリュームを保全することによって、暗号化されたHFS+ボリュームの全てのブロック(未割り当て領域を含む)を復号した状態で保全することが出来ます。

 

 

[図4:暗号化されたHFS+ボリュームのマウント状態]

 

[図5:暗号化されたHFS+ボリュームが複合された後のマウント状態]

 

 

macOS 10.13 High SierraでMac端末にも導入されたAPFSは、ファイルシステム自体に暗号化をサポートする機能が搭載されています。そのため、CoreStorageによって提供されるセキュリティ層は必要なくなり、APFSのコンテナシステムへと移行しました。APFSでフォーマットされたボリュームでFileVaultを有効にしても、HFS+のようにCoreStorageの中にデータを移動させて暗号化すると言った処理は行いません。FileVaultをONにすると、APFSに搭載された暗号化サポート機能が、データをファイルシステムレベルで暗号化します。このためAPFSボリュームをツール等で復号しても、暗号化されていない平文の状態のAPFS論理ボリュームを新たに作成することはありません。

 

 

[図6:OS情報とFileVaultの有無の確認]

 

 

[図7:暗号化が解除されたAPFS(MacQuisitionのImage Device)]

 

[図8:作成するイメージファイルの名前]

 

[図9:BlackLightに追加した際にパスワードを要求される]

 

上図からも分かる通り、MacQuisition上では復号された状態のAPFSをイメージファイルとして保全した場合、作成されるイメージファイルの中身は暗号化されたままとなります。そのため、BlackLightのような解析ツールは、APFSファイルシステムのデータを必要な時に復号できる機能が搭載していなければなりません。

また、CoreStorageとAPFSの暗号化機能には技術的に微妙に違いがあります。どちらのシステムもXTS-AES128や256暗号化方式でデータを暗号化します。APFSはランダムに生成された2次暗号化キーを使用します。一方、HFS+のCoreStorageでは「UUID」を2次キーとして使用しています。そのため、CoreStorageで使用しているUUIDはランダムではなく識別することが可能なので、APFSが取っている方式の方がよりデータを安全に保護していると言えます。

 

 

iMac ProやMacBook Pro 2018モデルで搭載された"T2 チップ"


2017年12月に発売されたハイエンドモデルのiMac Proや、2018年7月に発売されたMacBook Pro 2018モデルで新しく搭載された"Apple T2 チップ"と呼ばれるAppleが開発した制御チップがあります。Apple製品はアップデートや新作が出る度に保全や解析が難しくなりますが、この"Apple T2 チップ"がフォレンジックにおいて非常に厄介な存在になっているのを皆さんは既にご存知でしょうか?

この"Apple T2 チップ"ですが、Touch IDやTouch Barの制御などのために搭載されました。それに加え、Secure Enclaveコアプロセッサが組み込まれたことにより、FileVaultとは別の暗号化機能や、セキュアブート機能の強化などが搭載されました。このSecure Enclaveコアプロセッサは、元はiOSデバイスのApple A系チップに搭載されていたものをmacOS用にカスタマイズされたものになっています。

 

 

[図10:新搭載された"Apple T2 チップ"]

 

さて、この"Apple T2チップ"が搭載されたMac端末ですが、結論から申しますと、現在は一般的なイメージファイル形式での保全がほぼ不可能になっています。原因としては以下の2点がクリティカルな問題となっています。

 

  1. "Apple T2チップ"による暗号化
    上記の2モデルに関しては、内蔵されているSSD上のデータは、"Apple T2 チップ"に組み込まれた機構によりFileVaultとは別の暗号化が掛けられます。また、この暗号化の鍵は"Apple T2チップ"内にあるため、仮にディスク全体の保全を行ったとしても鍵がわからないため復号することができません。

  2.  セキュアブート機能
    "Apple T2チップ"が搭載されていない端末では「ファームウェアパスワード」を設定することによって、所定の起動パーティション以外からの起動を制限することができました。この機能はデフォルトではOFFになっており、ユーザーが設定することで初めて機能するものでした。
    しかし、"Apple T2チップ"が搭載された2モデルでは、デフォルトの状態でこのセキュアブート機能がONになっています。このため、設定が変更されていない端末においては外部メディアからの起動ができないようになっています。

[図11:セキュアブートの設定画面]

 

これらの要因から、iMac Pro、MacBook Pro 2018モデルに関しては保全が出来ない状態となっております。唯一の方法としては、保全対象となる端末の電源が入っている状態で、Live保全が可能なツールを使ってトリアージしていただく方法しかありません。

また、この"Apple T2チップ"は今後発売される製品にも導入されると思われますので、より一層Mac端末の保全に関してはシビアになりそうです。
※現在BlackBag社では効率的なデータ収集ができないか調査中です

 

今回の記事では最新のMac端末の保全や解析において非常にクリティカルな部分を書いていきました。調査を行なっている方々の現場でも、これらのMac端末を使用する機会が増えてくるかと思います。そんな皆様の一助となれるよう、引き続きナレッジで取り上げていきたいと思います。