これは本当の話だ。ここでは氏名を差し替えているが、関係者の正体については関係ないためだ。


Mac files on a USB drive as seen via Linux

 Macユーザとファイルを交換したことのある人なら誰でも、Mac OS Xがさまざまな「隠し」ファイルをUSBドライブにコピーすることを知っている。

 興味深い部分はここからだ…。

 ボブはこれらのファイルの機能について、疑問に思った(で、なんでこんなに多いのだろう?何をするものだろう?)。ボブはリバースエンジニアリングを行い、当然ながらバイナリエディタでファイルを分析してみた。そしてその時のことだ。メールアドレスや題名の行、一部のケースではアリスのメッセージの冒頭の文が「.store.db」というファイルに含まれていることをボブは知った。

 ボブは自分のUSBドライブにそのようなデータやメタデータがコピーされたことに驚き、さらに調査して次のことが分かった。こうした.dbファイル群を参照するように特別に設計されたフォレンジックツールを使うと、これらの情報を見ることはできないのだ。標準的な見方では「.store.db」は「store.db」と同一のように見える。バイナリエディタで見た場合のみ、.store.dbに埋め込まれた、漏えいした情報が明らかになる。つまり通常のフォレンジックツールではまったく分からないのだ。

 当社ではボブのUSBドライブを調査し、絶対にそこにあるはずのないデータが.store.dbファイルの中にあることを確認できた。当社のMacコンピュータで問題を再現することには成功していない。アリスや彼女のコンピュータへアクセスできないので、推測することしかできない。データは未知の設定によって漏れた可能性も、サードパーティ製のソフトウェアによって漏れた可能性も、マルウェアによって漏れた可能性もある。

 懸念すべきは以下だ…。

 自身がレポーターだと想像してみてほしい。誰か他の人のUSBドライブに漏えいする、あなたの情報ソース宛てのメールについてのデータを欲しいと思うだろうか?もちろんお断りだ!一部の国では、今回のようなOPSECの不具合で、簡単に人々が刑務所行きになる。

 当社では通常は未知の件については書かない。しかし特に今回のケースでは、誰かが問題の根源を特定できることを期待して、記事にした。そして誰かが解明したら、このポストを更新する。

追記

 Mark Janssenは、自身のデータやメタデータがUSBデバイス上のSpotlight検索に関連するインデックスファイルで見つかることを確認した。その後彼はアップル社の製品セキュリティチームへメールを送り、「Apple is aware of the issue and is investigating(アップルは問題を認識、調査している)」と報告を行った。

  Macユーザは、システム環境設定、Spotlight、プライバシーと辿って、Spotlightで検索インデックスの作成を回避できる。Nicholas Ptacekがこの点を指摘した。

 残念なことに、Spotlightの検索インデックスの作成を無効にすることでUSBドライブへのデータの漏えいを防いでいる間は、この設定によりMac自体の機能が制限される。Nicholasはここに掲載されている情報により、他のワークアラウンドが提示される可能性があることを示唆している。

 Jimmy Wall博士は、ドライブから「ジャンク」を自動的に消去する機能を持つ、CleanMyDriveというツールを推奨している。このアプリはMac App Storeで入手できる。

 あなたのSpotlightのインデックスで、隠ぺいされているのが何か見たい?

 Go to the top level of an Indexed volume, and check .Spotlight-V100/Store-V2/[RANDOM HASH]/.store.db.(インデックスされたボリュームのトップレベルに行き、.Spotlight-V100/Store-V2/[RANDOM HASH]/.store.db.を確認しよう)

 注記:当社のアナリストは、いまだ自分のMacからUSBデバイスに「悪い」.store.dbファイルをコピーできないでいる。そのため、当研究所のMacと、Janssenの言う世のMacとの間には、知られざる変数がまだある。