ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > Acquisition of Macintosh(1)
«  |  Articles トップへ

Macのキーチェーンに格納されたパスワードの確認方法

Mac解析の記事も今回で第6回目となりました。前回はMacで使われているメタデータに関して興味深いところを取り上げて書いてみました。作成、更新された日時以外にも、Mac端末にデータが追加された日や、そのデータが開かれた日付といったユニークな情報が含まれていました。

 

さて、今回、記事の内容は「キーチェーンアクセス」を取り扱っていきたいと思います。

 

 

 

 

 

 

macOSやiOSにある「キーチェーンアクセス.app」とは?


普段MacintoshやiPhoneを使用している時に、パスワードを設定することってよくありますよね。パスワードの使い回しや、「123456」や[password」といった覚えやすい簡単なパスワードを使用してしまうことありませんか?毎年パスワードのワースト100なんてランキング(SplashDataが米国時間の12/17に2018年度版のランキングを発表しています)が発表されてしまうくらい、多くの人が簡単で覚えやすいパスワードを使用しています。しかし、セキュリティを高めるためには長く複雑なパスワードを使わなくてはなりませんし、長く複雑なものになれば覚えるのも難しくなりますよね。

 

そんな時に役立つのが、macOSやiOSに搭載されている「キーチェーンアクセス」です。

 

「キーチェーンアクセス」は、様々なアプリのアカウント情報やログインパスワードを保管しているアプリケーションです。このアプリケーションを使うことにより、複雑で長いパスワードを使って堅牢性を高めながら、忘れることなくパスワードを管理することができるようになります。

 

普段SafariやGoogle ChromeなどのWebブラウザや、様々なアプリケーションを使用する時に、パスワードを入力すると以下のようなウィンドウが表示されるのを見たことがあるかと思います。

 

 

図1:パスワード登録の確認ポップアップ

 

 

上の画像の「パスワードを保存」ボタンをクリックすると、「キーチェーンアクセス」の画面上にアカウント情報とパスワードが自動的に登録されます。キーチェーンに格納された情報を確認するには、「コマンド⌘キー + スペースキー」を押してSpotlightの検索画面を表示し、 ”キーチェーン”と入力してキーチェーンアクセス.appを選択して起動する。もしくは、Dockの中にあるロケットアイコン「Launchpad」を選択し、「その他」のグループの中にある「キーチェーンアクセス」を選択して起動します。

 

 

 

図2:「Launchpad」項目の中の「その他」を選択

 

 

図3:「その他」項目の「キーチェーンアクセス」を選択

 

 

図4:キーチェーンに登録したアカウント一覧

 

※アプリケーションによっては確認画面が出ることなく登録されることもある模様。

 

 

 

 

キーチェーンアクセスの中にはどんな情報が入っているのか?


先程の画像で見ていただいた通り、キーチェーン アクセスの中にはアカウント情報やパスワード情報が登録されていきます。

 

 

図5:キーチェーンに格納されている各情報

 

 

また、それとは別に「秘密メモ」というデジタル文書や、証明書を管理することができます。

 

 

図6:秘密メモ

 

 

それぞれのキーの中にユーザーが設定したパスワードやデジタル書類が格納されています。
※「このパスワードを保存しますか?」の選択で"パスワードを保存"を選択しておく必要があります。

 

 

 

 

 

キーチェーン で何ができるのか?


ここまで書いた内容で既にピンと来た方もいらっしゃると思いますが、このキーチェーンを活用することでユーザーが設定していたアカウントやファイルのパスワードを見つけることができます。キーチェーン本来の使い方としては忘れてしまったパスワードを再確認できることや、SNSなどのアカウントにログインする際に毎回自分で入力する必要がなくなるという機能ですが、フォレンジック的観点で見てみるととても重要なデータとなります。

 

 

図7:選択した秘密メモの情報

 

 

 

上の画像はキーチェーンに登録した秘密メモを選択した状態です。秘密メモの名前や作成日、変更日を確認することができます。太い赤枠で囲っているメモ欄はデフォルトの状態では確認することができません。この非表示になっている部分にユーザーの情報が格納されています。メモ内容を確認したい場合は、「メモを表示」横のチェックボックスをクリックします。

 

 

図8:パスワードを求めるポップアップ

 

 

チェックボックスをクリックすると、キーチェーンのパスワードを求めるポップアップが表示されます。ここにキーチェーンファイルを所持していたユーザーのログインパスワードを入力します。

 

 

図9:パスワードを入力

 

 

パスワードを入力した後、OKボタンをクリックするとメモの内容が現れます。

 

 

図10:パスワード認証後の表示

 

 

もしPCにパスワードを設定していた場合、ユーザーのログインパスワードとキーチェーンファイルを取得することができれば、アカウントのパスワードや秘密メモの内容確認することが可能です。

 

肝心のキーチェーンファイルですが、現バージョン(macOS Mojave 10.14.1)で格納されている位置はこちら。

 

 

図11:キーチェーンファイルの格納位置

 

 

"/Users/User/Library/Keychains" ユーザーライブラリの中の"Keychains"というフォルダの中にある、"login.keychain"というファイルに格納されています。このキーチェーンファイルはユーザー毎に作られます。
※ファイル名や格納場所はOSのバージョンによって変更される場合があります。

 

 

キーチェーンファイルはパスワードを管理してくれるとても便利なアプリケーションですが、フォレンジック的には秘密の宝箱と同じくらい情報が入っているかもしれませんね。

今回はキーチェーンについてまとめてみました。中身にはフォレンジック調査で役に立つ情報がたくさん入っているので、調査の際に確認してみましょう!