FileVaultとQuickLookはMac OSの暗号化ボリュームから一部の情報を漏洩する

Mac で FileVault と QuickLook を使用する場合、この 2 つを組み合わせると暗号化されたボリュームから機密情報が漏洩する可能性があることに注意してください。

読者のジャック・R さんは、状況をさらに詳しく説明した次の情報を送ってくれました。

FileVaultとQuickLookを同時に使用すると、暗号化されたボリュームに保存されているファイルに関する情報が、ハードドライブ上で完全に暗号化されていない状態で利用可能になります。これは、QuickLookのサムネイルキャッシュが/var/ディレクトリ内に保存されるためです。

潜在能力を示すために、次のコマンドを実行して QuickLook キャッシュのサイズを確認します。

find /var/folders -name "*QuickLook*" -exec du -h {} \; 2>/dev/null

最悪のシナリオは、ファイル名や、ドキュメントや画像のQuickLookサムネイルまでもが漏洩してしまう可能性があることです。また、/var/folders内のQuickLookキャッシュディレクトリ内には、暗号化されたボリューム上のファイル名のリストを含むindex.sqliteというsqliteファイルがあります。

これがパッチ可能な正当なセキュリティホールであるのか、それとも私が無目的に心配しているだけなのかは分かりませんが、多くの人がこのことを知らないに違いありません。

編集者注：これは明らかにセキュリティホールのようです。この問題を回避する最善の方法は、機密性の高い暗号化データに対してQuickLookを使用しないことだと思いますが、これは修正というよりは回避策に近いでしょう。Mac OS Xには、いずれこの問題を解決するセキュリティアップデートがリリースされるかもしれません。

2018年6月18日更新： 8年以上経った今でも、このセキュリティバグはmacOS / Mac OS Xに存在しています！これは残念なニュースです。しかし、朗報もあります。セキュリティ研究者のPatrick Wardle氏がこの脆弱性に新たな注目を集めており、今後のソフトウェアアップデートで修正される可能性が高いとのことです。

その間、Wardle は、MacOS / Mac OS X のターミナルに入力できる次のコマンド文字列を使用して Quick Look キャッシュを削除することを推奨しています。

qlmanage -r cache

このコマンドを実行すると、Quick Lookのキャッシュがクリアされます。今後のMac OSのセキュリティアップデートやソフトウェアアップデートで、このバグが完全に修正される可能性が高いので、ご注意ください。