【検証】FileVault は外せるか?

  • このエントリーをはてなブックマークに追加
  • LINEで送る

「亡くなったおじいちゃんのコンピュータから写真などのデータをとりたいが、ログインパスワードがわからない」とお持ち込みがありました。

最初に結論を言っておきますと、FileVault を外すことはできません。

以下長文になっちゃいましたが…まずは経緯から。

10.9まではリカバリー領域から起動すれば、ユーザーのログインパスワードは簡単に解けたので、その類だと思いお持ち頂いたのですが、今回、resetpasswordコマンドでパスワードをリセットしようにもディスク自体がマウントされませんでした。

リンク:macOS ユーザアカウントのパスワードを変更またはリセットする

お預かりすることにし、引き続きターゲットディスクモードに切り替え、外部マシンへマウントすることにしました。しかし、やはりロックがかかっていて、マウントする際にはパスワードを求められます。

ああ、もしかするとこれは10.10でアップデートした際に問題になっていた「FileVaultを勧められるままスイッチオンしてしまったパターン」でしょうか。だとするとディスクのマウントに使われているパスワードは、ログインパスワードと同じな可能性がありますが、うーん。

お亡くなりになったおじいちゃんのコンピュータから写真などのデータは取れないか?という特殊なご要望。ご本人やご家族に関する生年月日や電話番号、ご住所、カード類の暗証番号などを伺い、想定される範囲内のランダム生成した番号を頑張って入力してみましたが、残念ながらどれも通りません(ほぼ偶然でできるかどうかなので、当たり前っちゃ当たり前)。

いくらなんでも桁数もわからないパスワードを総当たり攻撃(Brute-force attack)でいくには時間がかかりすぎ、具体性がありません。

リンク:Report: FileVault 2 Takes 34 Years for Brute Force Crack(レポート:総当たり攻撃での解除は34年かかる(英語サイト))

他方に解除の可能性を探索、検証しつつ考えられる作業をすすめましたが、解除には下記のどちらかはどうしても必要なことが判明。

1、FileVault設定時に発行される暗号鍵 → これをUSBメモリなどに入れて使用。わからず設定しているので、そんなことをしているわけがない

2、Apple IDとパスワードで解除できる → この設定をしていなければ暗号鍵の再生成自体は本体が手元にある限り可能な様です。今回は残念ながら設定がしてありました。

Apple ID、パスワードを使って解除

Apple IDすらわかりません

Apple IDすらわかりません

1は無理でも、2のApple IDとパスワードがわかれば!ということですが、普通ご家族でも知っているものではありません。今回は使用しているメールアドレスをいくつか伺ったのですが、パスワードどころかAppleIDの特定すらできませんでした。

特殊ツールを使う その1

FileVault向けに条件が揃えば、特殊なツールを用いて暗号化を解くための手立ては存在します。

Passware Password Recovery Kit Forensic

FileVault以外にもいろんな暗号化解除のツールが揃っています

FileVault以外にもいろんな暗号化解除のツールが揃っています

 

Passware ~の画面

Passware ~の画面

その条件も普通はまあありえない状態ですし、総当たり攻撃が出来たとしても、前述した様に何十年もかかるということでは、あまり意味を為しません。

 

特殊ツールを使う その2

FileVaultではなく、ログインパスワードだけであればなんとかならないか…と、WindowsでもMacでも、ログインパスワードが忘れても強制ログインできるとしたkon-bootにかけることにしました。

kon-bootを使い新しいユーザーを追加して起動した場合の動画(パスワードをすり抜けるモードもあります)

しかし、kon-bootにも、ログインパスワードを外す条件として「FileVaultが施されてないこと」が記述にありました。

読む前に試して、ダメなことはわかっていましたが…笑

"no activated FileVault or other disk encryption"

“no activated FileVault or other disk encryption”

 

しばらくマイブーム的に思いついてはトライを繰り返しましたが、世界中のハッカーがはずせないものを専門家でもないおっさんが乏しい資金や知識で外せるわけもなく、今回は残念ながら断念せざるを得ない状況でした。(FBIだったらできる?わかりません)

もう2、3試してみたいことはありますが、一旦ここで終わります。

今回の様にしばしばパスワードの解除のご依頼を受けることがあります。FileVault以外では解除例もございます。ただしプライバシーに関した問題がありますので、身分証明書などの提示をお願いしています。

何かありましたらお気軽にお問い合せ下さい。

No tags for this post.
  • このエントリーをはてなブックマークに追加
  • LINEで送る

SNSでもご購読できます。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください