macOS の Quick Look 機能のバグにより、暗号化されたドライブに保存されているものであっても、写真のサムネイルや文書内のテキストなどの機密性の高いユーザー情報が漏洩する可能性があります。
マックルーマーズ:
Quick Look の脆弱性に関する詳細は、今月初めにセキュリティ研究者の Wojciech Regula 氏によって公開され、週末にはセキュリティ研究者の Patrick Wardle 氏のブログ (The Hacker News 経由) でも公開されました。
Quick Look を使用すると、macOS ユーザーは、ドキュメントを選択した状態でスペースバーを押すことで、Finder で写真やドキュメントの拡大表示をすばやく表示できます。
この利便性を実現するため、クイックルック機能は各ファイル/フォルダのサムネイルを生成し、ファイルを開く前に簡単に確認できるようになっています。サムネイルは暗号化されていないデータベースに保存されます。適切な知識を持つ人なら誰でもサムネイルを閲覧でき、macOSにはサムネイルを自動的に削除するキャッシュクリア機能は搭載されていません。
Regula氏は次のように説明する。
これは、スペースを使用してプレビューしたすべての写真(またはQuicklookが個別にキャッシュした写真)が、そのディレクトリにミニチュアファイルとそのパスとして保存されることを意味します。これらのファイルを削除した場合、または暗号化されたHDDやTrueCrypt/VeraCryptコンテナでプレビューした場合でも、そこに残ります。
この問題はMacユーザーには広く知られていないが、Mac OS X/macOSでは少なくとも8年間存在していたと報告されており、過去にもこの問題について警告が出されていたものの、Appleはまだこの問題の修正プログラムを提供していない。
「この動作はmacOSの最新バージョンでも依然として存在し、(深刻なプライバシーへの影響がある可能性があるにもかかわらず)Macユーザーには広く知られていないため、さらなる議論が必要です」とウォードル氏は言う。
この情報は、法執行機関にとっても、ユーザーの Mac ハードドライブや Mac に接続されている USB ストレージデバイスの履歴記録にアクセスできる悪意のある人物にとっても貴重です。
フォレンジック調査や監視インプラントにとって、この情報は非常に貴重となる可能性があります。USBデバイス、デバイス上のファイル、さらにはファイルのサムネイルの履歴記録が、USBデバイスが取り外された後(あるいは破壊された後)もずっと後まで、暗号化されていないデータベースに永続的に保存されていると想像してみてください。ユーザーにとっての疑問は、「Macに挿入したすべてのUSBスティック上のファイルのパスと「プレビュー」サムネイルをMacに記録させたいですか?」ということです。私はそうは思いません…
Macのメインドライブが暗号化されている場合、Quick Lookのキャッシュも暗号化されます。そのため、Macの電源を切った状態ではキャッシュ内のデータは「安全」とみなされる可能性があります。しかし、Macの電源を入れ、ユーザーがログインしている状態では、その情報にアクセスできます。
Wardleは、Quick Lookキャッシュの内容に不安のあるユーザーに対し、コンテナをアンマウントする際にキャッシュをクリアすることを推奨しています。手順はWardleのウェブサイトでご覧いただけます。
