不具合のあったmacOS 10.13 High SierraでAPFS暗号化ボリュームのパスワードが平文のままログに表示され残ってしまう不具合が発見され、研究者らが注意を呼びかけ。

　ディスクユーティリティにパスワードが表示されるバグがあったmacOS 10.13 High Sierraに、APFS暗号化ボリュームのパスワードが平文のままログに残ってしまう不具合が発見され、セキュリティ研究者らが対応を求めています。詳細は以下から。

　Appleが2017年10月にリリースした「macOS 10.13 High Sierra」はAppleの新しいファイルフォーマット「APFS」が採用され、それに伴いディスクユーティリティやコマンドラインツールがアップデートされましたが、このディスクユーティリティには「APFS暗号化ディスクを作る際に設定したパスワードが、パスワードのヒントして平文のまま表示される不具合」が確認され、Appleは急遽追加アップデートをリリースしました。

• High Sierraのディスクユーティリティのヒント欄にAPFSの暗号化パスワードが平文で表示されてしまう不具合の対処法。
• Apple、High Sierra追加アップデート後もディスクユーティリティに平文のままAPFSの暗号化用パスワードが残ってしまう問題についてサポートページを公開。
• macOS High Sierraでディスクユーティリティのヒントに平文のままパスワードが表示されてしまう不具合は、コードのコピー/ペーストが原因か？

　しかし、この不具合は追加アップデートを適用するだけでは終わっていなかったようで、米SANSのセキュリティ研究者Sarah Edwardsさんによると、macOS 10.13で問題のあったディスクユーティリティを利用しAPFS暗号化ボリュームを作成すると、その際に利用したパスワードがヒント欄だけではなく、ログにまで残ってしまう事が確認されたそうです。

I’ve been updating my course (Mac and iOS Forensics and Incident Response) to use new APFS disk images (APFS FTW!) and came across something that both incredibly useful from a forensics perspective but utterly horrifying from a security standpoint. Screenshot below of my course disk image.

Uh Oh! Unified Logs in High Sierra (10.13) Show Plaintext Password for APFS Encrypted External Volumes via Disk Utility.app — mac4n6.com

newfs_apfsが問題

　この不具合はnewfs_apfsコマンドが原因のようで、newfs_apfsにはマニュアルに記載されていない”-S”オプション(フラグ)が存在し、このオプションはパスワードをパラメーターとして利用しており、

　実際に確認してみましたが、macOS 10.13.0(追加アップデート済)でディスクユーティリティを利用してAPFS暗号化ボリュームを作成すると、以下の様にmacOSのシステムログに設定したパスワード”hogehoge”が残っているのが確認できました。

クリックで拡大

　この不具合はmacOS 10.13.3までのアップデートで修正されたようですが、macOS 10.13を利用してAPFS暗号化ボリュームを作成していると半永久的にそのパスワードがログに残っている可能性があるためセキュリティ研究者らは注意を呼びかけているので、macOS 10.13からアップデートをしてmacOSを利用している方はシステムログにパスワードが保存されていないかチェックしてみて下さい。

追記

　この不具合はmacOS 10.13.1までに存在し、macOS 10.13.2で修正されたようです。

追記2

　この不具合は特定の条件でmacOS 10.13.3でも再現可能でした。

• Uh Oh! Unified Logs in High Sierra (10.13) Show Plaintext Password for APFS Encrypted External Volumes via Disk Utility.app — mac4n6.com