残念ながらバックアップを取っていなかったHonan氏から、データが完全に失われた可能性が高いとの報告を受けた後、iCloud経由でリモートワイプが実行されると具体的に何が起こるのか疑問に思いました。そのプロセスはどのように機能するのでしょうか？Macに接続されているすべてのドライブが消去されるのでしょうか？それともシステムドライブだけでしょうか？データは復元できるのでしょうか？

これらの疑問に答えるために、私たちは自分のMacを1台消去してみることにしました。その経緯は以下のとおりです。

今回のテスト対象は、2011年モデルの15インチMacBook Pro（OS X 10.8搭載）です。内蔵ドライブは2台（Other World Computing Data Doublerを使用して光学ドライブを2台目のハードドライブに交換）で、メインシステムドライブとして240GB OWC Mercury 6G SSD、データストレージとして1TB Western Digital Scorpio Blue WD10JPVT HDD、そしてUSB接続の2TB LaCie P'9230外付けTime Machineドライブを搭載しています。「Find My Mac」でドライブ全体が消去されるのか、それともユーザーアカウントだけが消去されるのか気になったので、Macに2つ目のアカウントを追加し、両方を管理者に設定しました。

最初のステップは、「Macを探す」をオンにすることでした。System Preferences > iCloud「Macを探す」ボックスを開いてチェックを入れることでオンになります。するとOS Xから、「Macを探す」は1台のマシンにつき1つのユーザーアカウントでのみ有効にできるというメッセージが表示されました。このアカウントをプライマリユーザーアカウント（このテスト用に作成したアカウントではありません）に設定し、システム環境設定を閉じました。

別のMacでWebブラウザを開き、Macのメインシステムアカウントと同じiCloudアカウントを使ってiCloudのWebインターフェースにログインしました。ログイン後、「iPhoneを探す」セクションに入り、被害端末のMacBook Proが見つかるのを待ちました。

リモートロック

Macの盗難を心配するiCloudユーザーには、ロックとワイプの2つの選択肢があります。興味深いことに、まずはロックを試してみました。ワイプまたはロックしたいMacをクリックし、地図上でそのMacを見つけたら、「i」の文字が入った青い円をクリックします。すると、ロック、ワイプ、またはデバイスでメッセージやサウンドを再生するオプションが表示されます。

「リモートロック」を選択すると、iCloud は Mac を復元する際にロックを解除するための 4 桁の数字パスコードを要求します。ロックを続行すると、コマンド送信後約 10 秒以内に対象の Mac が再起動します。

Macを再起動すると、OS Xのデスクトップ画面やログイン画面が表示される代わりに、正しいロック解除パスコードの入力を要求するグレーの画面が表示されます。正しいパスコードの入力に連続して失敗すると、システムはロック解除を試行できないようにする時間が長くなります。

Mac が「ロック」と「ワイプ」の両方の状態にあるときに表示されるパスコード画面。

次に、ドライブ上のデータにアクセスしようと試みました。ロック状態の間、ユーザーはMacを再起動できますが、別のドライブを選択するためのAlt/Optionキーや、Macをターゲットディスクモードに切り替えるための「T」キーなどのブート修飾キーは機能しません。LionまたはMountain Lionのリカバリパーティションに移動するための「R」キーのみが機能します。

どこまでできるかを確認するため、システムドライブを取り外し、SATA-USB変換アダプターを使って別のMacに接続しました。ドライブはマウントされ、システムドライブ上のデータを確認し、必要に応じて別のドライブにコピーすることができました。したがって、Macの所有者がハードドライブを物理的に取り外すスキルや時間を持っている場合、iCloudの「ロック」機能は安全ではありません。

リモートロックに関する疑問が解決し、ハードドライブを元に戻して起動し、正しいパスコードを入力しました。Macはしばらく処理を待ってから再起動しました。幸いなことに、ユーザーのデスクトップが再起動し、データはすべてそのまま残っていました。

リモートワイプ

いよいよ、強力な武器を取り出し、システムをワイプする時が来た。別のMacでiCloudに再度ログインし、ワイプコマンドを送信した。今度はパスコードの設定を求められ、ワイプには「完了まで最大1日かかる場合があります」というメッセージも表示された。

リモート ワイプ コマンドの送信の最終確認。

ロックのシナリオと同様に、コマンド発行から約10秒以内に対象のMacBook Proはシャットダウンし、その後再起動してパスコードの入力を求める同じグレーの画面が表示されました。ワイプ処理を中断したくなかったため、Macをこの状態で一晩放置しました。

翌朝、Macはまだパスコード画面のままでした。この処理に時間がかかりすぎて効果が上がらないのではないかと懸念し、正しいパスコードを入力して処理を中止し、データの状態を調査することにしました。正しいパスコードを入力すると、「ロック」シナリオでパスコードを入力した時と同じように、コンピュータは処理を続けました。MacBook Proに回転するビーチボールの映像が映し出されるのを3時間近く見ていたのですが、諦めてシステムをハードリブートしました。

再起動後、パスコード入力画面やユーザーログイン画面は表示されず、OS Xのリカバリパーティションに直接起動しました。ディスクユーティリティにアクセスすると、2つの内蔵ドライブはマウントされていませんでしたが、外付けのTime Machineドライブにはデータが残っているようでした。 

Time Machineドライブの整合性を確認するため、MacBook Proからドライブを取り外し、正常に動作する別のMacに接続しました。ドライブはすぐにマウントされ、ドライブ上のデータはすべてそのまま残っていたため、MacBook Proを復元する準備が整った状態になりました。

MacBook Proの内部ドライブに目を向け、Alt/Optionキーを押しながら再起動してブートマネージャーにアクセスしてみましたが、ダメでした。利用できるパーティションはリカバリパーティションだけで、内部システムドライブは全く表示されませんでした。少なくとも、ブート修飾キーにはアクセスできるようになりました。これは「ロック」モードやマシンが「ワイプ」モードの時にはできなかったことです。

最終テストとして、MacBook Proをターゲットディスクモードに設定し、Thunderbolt経由で別のMacに接続しました。別のMacからは、MacBook Proのドライブがマウントされていないため初期化する必要があるというメッセージが即座に表示されましたが、データ復旧の可能性を考慮し、初期化は行いませんでした。初期化は通常、新しいハードドライブを使用する前にのみ行われ、ドライブの「目次」から残っている情報をすべて消去し、ドライブを新しい使用に備えます。ドライブを初期化してもデータ復旧が不可能になるわけではありませんが、必ずしも役立つわけではありません。

つまり、Appleのリモートワイププロセスによって、元のコンピュータでも他のコンピュータでも読み取れないディスクが作成されたようです。成功です！（見方によっては失敗かもしれません）。

Shutterstockより画像提供

データ復旧

Appleのワイププロセスが、少なくとも内蔵ドライブに関しては実際に機能することがわかったので、いよいよデータ復旧に挑戦する時が来ました。Prosoft Engineeringの定評ある家庭用データ復旧ソフトウェア「Data Rescue 3」を使用し、「ワイプされた」内蔵ドライブからデータを復旧する作業を開始しました。

Data Rescueの「ディープスキャン」を使用して、両方の内蔵ドライブから失われたファイルを見つけようとしました。「ディープスキャン」はドライブのすべてのセクターを調べてファイルを検索するため、ドライブのサイズと速度によっては数時間かかる場合があります。私たちのケースでは、240GBの内蔵SSDのディープスキャンは約3時間かかりましたが、1TBのHDDでは完了までに12時間以上かかりました。

残念ながら、将来の書き込みパフォーマンスを向上させるために未使用ブロックを上書きするTRIMなどの技術により、SSD上のデータは、少数のシステムファイルとキャッシュファイルを除いて復元できませんでした。Appleがフラッシュメモリのみを使用する製品ラインに急速に近づいている今、この点を考慮することは重要です。

内部の機械式ハードドライブはまた別の話です。数時間待たされた後、Data Rescueは音楽、写真、文書など38万以上のファイルの復元と再構築に成功しました。機械式ハードドライブはセクターを上書きしてもパフォーマンスが低下しないため、TRIMなどの技術は不要です。つまり、機械式ハードドライブからのデータ復旧ははるかに容易であり、ハッカーや窃盗犯がドライブにアクセスした場合の対策として考慮すべき点です。

学んだ教訓 

結局、実験中に私たちが学んだ教訓は次のとおりです。

• リモートロック状態は Mac のブート オプションを制限しますが、ドライブを引き抜いて別のコンピューターにマウントすることで回避できます。
• リモートワイプはすべての内部ドライブを消去し、完了すると、リカバリ パーティションへのアクセスのみが残ります。
• リモートワイプでは、ローカルに接続された外付けドライブは消去されません。Time Machineなどのバックアップがあれば、偶発的または悪意のあるワイプからデータを保護できます。データのバックアップを必ず行ってください。
• データ回復ソフトウェアを使用すれば、消去された機械式ハード ドライブからほとんどのデータを回復できるはずですが、特に消去前に TRIM などのテクノロジが有効になっていた場合は、ソリッド ステート フラッシュ ドライブからは回復できない可能性があります。

Appleのリモートワイプの実態が良いか悪いかは、視点によって異なります。Honan氏のような状況に陥った場合、データの復旧は明らかに最も重要な考慮事項であり、Appleのワイププロセスが復旧を可能にするという事実は朗報です。

一方、機密データが詰まった会社のノートパソコンを紛失してしまった場合、窃盗犯やハッカーがデータを復元できる可能性があれば、パニックに陥るしかありません。そのため、Mac上のデータの漏洩を懸念するユーザーには、FileVault 2、PGP、TrueCryptなどのディスク全体の暗号化方式を使用することをお勧めします。

いずれにせよ、iCloudの「Macを探す」リモートワイプについて覚えておくべき最も重要な点は、1) 内部ドライブがすべて消去されること、2) ローカルに接続された外付けバックアップドライブは消去されないことです。そのため、データのバックアップを保管し、必要に応じてドライブを暗号化し、Macがリモートワイプされることをあまり心配する必要はありません。ここで概説したプロセスを理解し、自己防衛のヒントに従えば、ハッキングされる可能性は低くなり、攻撃を受けても多少の不便を感じるだけで済みます。