macOS High SierraにAPFSドライブの暗号化パスワードが平文で保存されるバグの存在が発覚

セキュリティアナリストのサラ・エドワーズ氏によると、macOS High Sierra 10.13と10.13.1で暗号化パスワードを指定した新しいAPFSファイルシステムの外部ドライブを作成するとログファイル上にパスワードが平文で保存されてしまうバグを確認したそうです。なお、このバグは10.13.2以降ではすでに修正済みとなっているとのことです。

Uh Oh! Unified Logs in High Sierra (10.13) Show Plaintext Password for APFS Encrypted External Volumes via Disk Utility.app — mac4n6.com
https://www.mac4n6.com/blog/2018/3/21/uh-oh-unified-logs-in-high-sierra-1013-show-plaintext-password-for-apfs-encrypted-external-volumes-via-disk-utilityapp

エドワーズ氏は暗号化パスワードがログに保存されることを示すため、確認方法を公開しています。まず、「ディスクユーティリティ」を使用してAPFSの外部ドライブを作成し、暗号化パスワードに「frogger13」を設定したそうです。

このとき、ターミナルで「log」コマンドを使用して、OSのログを表示します。以下はディスク操作に関するログを抽出したもので、ディスクユーティリティでの操作は赤色の部分。その後、OSがAPFSのドライブを構築する際に使用する「newfs_apfs」コマンド(水色箇所)を実行すると、コマンド引数に「-S frogger13」の文字列が存在しており、「frogger13」という暗号化パスワードが平文でログ上に保存されていたことを確認しました。

エドワーズ氏がmacOSで「newfs_apfs」コマンドのオプション情報を調査すると、マニュアル上には「-S」オプションに関する記述は無かったそうですが……

ターミナル上で「newfs_apfs」のコマンドを引数に何も設定しない状態で動作させ、「引数指定ミス」のエラーを発生させると、「-S」オプションの概要が表示されたとのこと。どうやらAPFSファイルシステムを作成する際、暗号化パスワードを指定するときに使用するオプションのようです。

おそらく「-S」オプションは暗号化ドライブを作成するときに内部的に使用するための「隠しオプション」として実装されていたと推測されますが、Appleの開発者はOSのログ上にコマンド引数が表示されてしまうことに気づかなかったと推測されます。

エドワーズ氏によると、このバグはmacOS 10.13と10.13.1に存在していることを確認しており、10.13.2以降ではパスワードが表示されなくなったとのことです。また、別のファイルシステムでフォーマットされたドライブをAPFSに変換して「パスワード」による暗号化を行う場合でもパスワードが表示されないと説明しています。