Appleの最新macOSに、APFSパスワードの脆弱性が発見されました。これは、ディスクユーティリティで暗号化されたAPFSコンテナを作成する際に発生します。ソフトウェア開発者のMatheus Mariano氏が最初に発見したのですが、Appleがこれを見逃していたのは残念です。暗号化されたコンテナを作成すると、パスワードが平文で表示されてしまいます。

APFSパスワード

MatheusがYouTubeに動画を投稿し、何が起こるかを見せてくれました。私も暗号化されたAPFSコンテナを作成して試してみました。パスワードとパスワードのヒントを選択する必要があります。コンテナをアンマウントして再マウントした後、「ヒントを表示」ボタンをクリックします。すると、パスワードヒントは全く異なるものを選択しても、パスワードが表示されます。

Matheus氏は、macOS High Sierra（バージョン10.13および10.13.1ベータ版を含む）を搭載した2016年製MacBook Proでこの脆弱性をテストしました。彼はすでにAppleに報告しているので、次のアップデートあたりで修正されると思われます。それでも、このような脆弱性が見落とされていたというのは奇妙なことです。

これはSSD搭載のMacにのみ影響することに注意してください。Appleの新しいAPFSファイルシステムはSSDでのみ動作しますが、Fusion Driveのサポートは間もなく開始されるためです。パスワードの脆弱性は、OS全体のバグではなく、ディスクユーティリティ自体の問題のようです。ターミナルでdiskutilを使用して暗号化されたAPFSボリュームを作成すると、パスワードではなく、実際のパスワードのヒントが表示されます。

更新 – 2017年10月4日

Apple は、この脆弱性と、以前に発見されたキーチェーンの脆弱性を修正した macOS の追加アップデートをリリースしました。