macOSの「クイックルック」は暗号化ドライブのファイルまでキャッシュしており、データは永続的に保管されいつでも閲覧できる – GIGAZINE

マジか。


コンピューター内に保存されている写真やPDFなどのさまざまなデータは、専用のアプリケーションを使って開くことで初めて中身を確認できるようになります。しかし、MacBookやiMacのOSである「macOS」では、ファイルを開かなくてもマウスオーバーして指定のアクションをするだけで中身をチェックできる「クイックルック」という機能があります。これはデータのサムネイル画像を作成することで実現する機能なのですが、このクイックルックによりパスワードで保護されたドライブや暗号化されたボリュームに保存されている機密性の高いデータが漏えいしてしまう可能性があることが指摘されています。

Objective-See
https://objective-see.com/blog/blog_0x30.html

Reminder: macOS still leaks secrets stored on encrypted drives | Ars Technica
https://arstechnica.com/information-technology/2018/06/reminder-macos-still-leaks-secrets-stored-on-encrypted-drives/

macOSのクイックルックは、macOSに改名する前の「Mac OS X」時代から存在する機能で、専用アプリケーションを開かなくても簡単にデータの中身をサムネイルでチェックできるというもの。クイックルックがどんな機能になっているのかは、以下のムービーを見れば一発でわかります。

Quick Look – Mac OS X – YouTube

この「クイックルック」という機能は、ファイルのサムネイル画像を自動生成してキャッシュすることで実現しています。このクイックルックが持つ脆弱性を、セキュリティ企業のDigita Securityで働くセキュリティ専門家のPatrick Wardle氏とWojciech Reguła氏が指摘しています。2人によると、クイックルックはサムネイル画像を自動生成してデータをキャッシュするわけですが、なんと元データを削除したり、元のデータが保存されたUSBドライブやHDDなどをMacから切断したりしても、キャッシュは永続的にMac上に記録されたままになっているとのこと。つまり、せっかく暗号化されたドライブに保存したデータであっても、クイックルックで閲覧したならばサムネイル画像がMac上に保存されてしまうため、これをチェックすれば簡単に中身を盗み見られると指摘しています。なお、クイックルックが自動生成したキャッシュにアクセスできるのは、端末に物理的にアクセスできる人、もしくは端末にマルウェアを感染させたアタッカーのみです。

Reguła氏は検証のためにMac内に保存したデータをクイックルックで閲覧し、次に暗号化されたHDDに保存されたデータをクイックルックで閲覧。HDDとMacを切断したあとにクイックルックが作成したサムネイルをチェックしたところ、どちらの画像も普通に閲覧できてしまったとのこと。なお、元データの写真解像度が1920×1080であった場合、生成されたサムネイルの解像度は336×182であったそうで、写真データとしてはかなり解像度の粗いものですが、「内容はしっかり確認できるレベルのもの」とのこと。なお、クイックルックが自動生成するキャッシュはSQLiteデータベース上に永続的に保存されるとのことです。

以下は解像度336×182の画像

Mac上に永続的に保存されるキャッシュを作成する最も簡単な方法はクイックルック機能を使用することですが、他にもFinderのウインドウ上でファイルを表示してもキャッシュが自動で保存されることになるとのこと。また、デスクトップ上に保存しているすべての写真データも自動的にサムネイル画像がキャッシュされるそうです。元データが削除されたりドライブとの接続が切断されたりしてもキャッシュは残るので、Regula氏は暗号化されたドライブなどを切断するたびにキャッシュを手動で削除することを推奨しています。

なお、SQLiteデータベース上のキャッシュを削除するには、コマンドラインを開いて「$ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache」を実行し、その後端末を再起動すればOKです。

情報源:macOSの「クイックルック」は暗号化ドライブのファイルまでキャッシュしており、データは永続的に保管されいつでも閲覧できる – GIGAZINE


はぁ・・・