「少し前にMacBook Proが動作しなくなったので、自分で外しておいたSSDからデータを取りたいのですが」とお問い合せ。
今回、データを救出する手順を進めましたが、正しいパスワードが分からないなどの問題があり、予算と時間の限られた中ではデータを取り出す事は出来ませんでした。ご自身で内蔵SSDを取って置いたという少々特殊な事例ですが、いろいろ試行錯誤した結果、通常の手順では不可能なことが判明したメモです。
外付けケースで反応しないSSD
お客様は外付けケースもお持ちでしたがご自身ではデータを取り出す事が出来なかったそうです。持ち込まれたケースを繋いでも全く反応はありませんでした。
お持ち込みのケースでは反応しませんでした。
ディスクは暗号化されていた
当店備品の外付け機材で試すと問題無く反応しました。お客様購入のケースの不具合だと思われます。
ただディスク自体が暗号化されている様でした。
このドライブ内のデータにアクセスするためにはFinder上に出た上記のダイアログにパスワードを入れる必要があります。これは通常使っているユーザーのログインパスワードで解除できるはずなのですが…
お客様から伺ったパスワードでは解除できませんでした。表示されている「ヒント」を伝えて、その他に思いつくパスワードをリストアップしてもらい再トライ。20パターン程試しましたが通りません…。これはアウトかも…と思いつつ他の方法を考えて行くことにしました。
もともとの壊れたMacに戻してみる
壊れたMacはもう大分前に処分してしまったらしく、その手は使えませんでした。
ということで、当店備品の近いモデル(同型SSDが搭載可能)のマシンに入れ替えて起動してみました。(2016年モデル以降はSSDの形状が違うものが使用されているか、基板直付けになっていますので入れ替えは不可です。)
ログイン画面は出るが
お客様のログイン画面。パスワードはやはり通りません。
パスワードのパターンを増やして貰いましたが、やはり先にすすめません。上記画面の下段、
「パスワードの入力で問題がある場合は、Macの電源ボタンを押したままにしてシステム終了してから、もう一度押して復元用OSで起動して下さい。」
に従って進めることにします。
パスワードをリセット
パスワードがわからない、もしくはパスワードは正しいのになんらかの原因でログインできない場合には、パスワードをリセットしてしまえば良いのです。(インターネット環境が必要になります。先に進むのにはWi-Fi接続しましょう。)
「パスワードを忘れた」を選択。
以降は2段階認証が必要になりますのでお客様にもご協力いただきながら進めます。Apple IDとパスワードを入力します。
Apple IDを使います。
お客様の他のAppleデバイスに届いた6ケタの番号を教えて貰い、
上記空欄に入力していきます。
正常に通ればパスワードをリセット作業開始です。
さて、これでうまく行けば御の字です。
リセットできませんでした。
これはユーザー設定時に暗号化機能(FileVault、FilVault2があります)の設定で「iCloudアカウントによるディスクのロック解除を許可」が選ばれてない可能性があります。以下は新規インストール後のユーザー設定時に出る画面です。
参考:インストール時の設定画面。
上記で「FileVaultディスク暗号化を有効にする」だけを選ぶと、次の画面になります。
参考:同じマシンでも一度戻るを押してやり直すとまた違う数字が出ます
上記の様に24ケタのFileVault復旧キーが出ていたはずなんですが…お客様はご記憶ないとのこと。これは良くない状況です。
お客様から提供されたログインパスワードが間違っている可能性も依然残ったままですが、さらに他の方法を試すことに。
ターミナルを使う
ログインパスワードが正しくてもシステム異常などでログインができなくなる場合もあるようです。その場合ターミナルからログインパスワードを使って解除する方法があります。別の方が手順を追ってわかりやすく作った記事がありました(どちらもほぼ同じ内容です)ので、こちらでの詳細は省きます。以下のようなコマンドを使います。
diskutil apfs list
diskutil apfs unlockvolume /dev/disk*s1
diskutil apfs listCryptoUsers /dev/disk*s1
diskutil apfs decryptVolume /dev/disk*s1 -user *UUID
上記のコマンドを利用しつつ、有力だと思われるパスワードを入れましたがエラー。
diskutil apfs unlockvolume /dev/disk*s1
Passphrase:
Unlocking any cryptographic user on APFS Volume disk*s1
Error unlocking APFS Volume: Couldn’t mount disk (-69842)
その後全てのパターンを入れても残念ながらどれも合致しませんでした。
Unlock or decrypt an encrypted APFS boot drive from the command line(英語)
うーん元のマシンがあればもう少しやり方が合ったかも知れませんが、これ以上の手がかりはありませんので、後はパスワードハックするしかないのかも…。ということで今回は断念間際ですが、ダメもとでもう1個。
当社備品のマシンをお客様のiCloudに紐づけする
iCloudでのお客様の「すべてのデバイス」に当社備品のMac本体が紐づけされていれば…?どうですか?と思い、お客様のApple IDを入れて試して見ました。
古いマシンは既に紐づけ外れていました。ここに残っていればもしかしたら…
が、やはりそう簡単では無いようで結局、通常の手順と思いつきのプラスでは最終的に救出不可と判明。
お客様には「同僚に変にコンピュータに詳しい人がいたので、SSDだけ抜き出しておいたんですが、最初からプロにお願いすれば良かった」とおっしゃっては頂けたものの、これ以上考えられる手立てとしては、フォレンジックやハックなどと呼ばれる、パスワードを直接探り当てる作業になり、費用と時間がかかるため、ここで一旦終了することになりました。
ということで
似たようなことに陥る可能性もあるため、必要以上にセキュリティの高いことを理解しないままFileVault暗号化をオンにするのはお薦めできません。最悪は今回の様にデータを取り出せる可能性が低くなることも考えられます。
暗号化の有無にかかわらず、もしも重要なデータが入ったマシンが壊れたら、ご自身であれこれ試される前にお気軽にご相談くださいませ。
