Mac mini 2024をWindowsからVNCで操作
Mac mini 2024を買ったので設定しているときの覚書。
Mac環境: Apple M4 Pro, Memory 24GB, macOS Sequoia(セコイア) 15.6
Windows環境: Windows 11 Pro 24H2, VNC viewer 6.17.1113
1. VNCでログインすると画面が真っ黒(真っ暗)になる
設定 → 共有 → 画面共有
画面共有を一旦オフにしてオンにすると表示されるようになった。
2. Mac本体でログインしないとVNCでログインできない
このMac miniは仮想マシンを起動させる母艦として利用しているので、起動させてから本体でログインせずWindowsから操作したい。
FileVaultを無効にする。
FileVaultはログインパスワードでユーザーのホームディレクトリを暗号化している。
設定 → プライバシーとセキュリティ → FileVault → オフにする
再起動。
これでMac本体でログインしなくてもVNCでログインできるようになった。
MacのSambaが完全に起動して、NetBIOS名で名前解決できるようになって、VNC Serverも起動する。
3. FileVault, BitLocker, T2チップ, TPM
FileVaultがオフでもT2チップで暗号化してるよね?と思って引き続き調査。
セキュリティチップ名: T2チップ(Mac), TPM(Windows)
暗号化機能: FileVault(Mac), BitLocker(Windows)
MacはFileVaultがオフの場合でもT2チップによってストレージを暗号化する。
そのためSSDだけ抜き出してもペアになっていたT2チップ経由でないと複合化できない。
別のMacに繋げてもT2チップが違うので複合不可。
Windowsの場合は、TPM(Trusted Platform Module)がマザーボードに搭載されていてもBitLockerがオフの場合ストレージを暗号化しない。
そのためSSDだけ抜き出して他のPCに繋げてデータを読み取れる。
Surfaceや一部のWindowsノートPCはDevice Encryptionが自動有効化されるらしい。
MacとWindowsのストレージ暗号化の違い。
| 項目 | Mac(T2セキュリティチップ) | Windows(TPM搭載) |
|---|---|---|
| 暗号化の有無 | 常時ハードウェア暗号化(AES-XTS) | 暗号化はデフォルトではなし(BitLockerまたはDevice Encryption有効時のみ) |
| 暗号化の実行者 | T2チップ内蔵SSDコントローラがリアルタイム暗号化/復号 | OSレベルのBitLockerが暗号化を実行(TPMは鍵管理のみ) |
| FileVault / BitLockerオフ時の状態 | ディスクは暗号化されているが自動復号される(物理的アクセス時は保護弱い) | ディスクは平文(暗号化なし)に戻る |
| 鍵の保管場所 | T2チップ内のSecure Enclave(外部から取り出せない) | TPM内のセキュア領域(BitLockerキーやDevice Encryptionキーを保管) |
| 自動暗号化 | 常に有効(ユーザー操作不要) | 一部PCでDevice Encryptionが自動有効化されるが、ほとんどは手動設定必要 |
| 保護強度(盗難時) | FileVaultオンで初めて強固な物理セキュリティ(起動前パスワード要求) | BitLockerオンで強固な物理セキュリティ(起動時PINやパスワード要求) |
| 対象ストレージ | 内蔵SSDのみ(外付けは対象外) | 内蔵/外付けともにBitLockerで暗号化可能 |
| 暗号化解除の条件 | Secure Enclaveの鍵+ユーザーパスワード(FileVaultオン時) | TPMの鍵+ユーザーパスワードまたはPIN(BitLockerオン時) |
4. 外部ブート攻撃
攻撃者がUSBメモリや外付けディスク、DVDなどから別のOSを起動し、既存のOSを介さずストレージの中身を直接操作・取得する攻撃手法。
- OSのログインパスワードやユーザー権限を無視してアクセス可能。
- 暗号化されていない場合、すべてのデータを読み取れる。
- 暗号化されていても、一部の構成では鍵が残っている状態なら復号可能な場合がある。
Macは起動セキュリティユーティリティで外部メディアからの起動を禁止している(デフォルトで禁止)。
物理攻撃一覧表
| 攻撃種類 | 概要 | 影響 | 有効な対策(Mac) | 有効な対策(Windows) |
|---|---|---|---|---|
| 外部ブート攻撃 | USB/DVD等から別OSを起動し、既存OSを介さずストレージへアクセス | 暗号化なし → 全データ読み取り | - 起動セキュリティユーティリティで外部起動禁止(デフォルト)- FileVault有効化 | - UEFIで外部起動禁止- セキュアブート有効化- BitLocker有効化 |
| コールドブート攻撃 | 電源OFF直後やスリープ中にメモリを別PCで読み取り、復号鍵を抽出 | 暗号化していても鍵が残っていれば突破可能 | - スリープより休止/シャットダウン運用- FileVault有効化 | - スリープより休止/シャットダウン運用- BitLocker有効化+TPM+PIN |
| 悪意ある周辺機器攻撃(BadUSB等) | 見た目はUSBメモリやキーボードだが、内部的に攻撃用デバイスとして振る舞う | OSやファームウェア設定を改ざん、マルウェア注入 | - 不明なUSB機器接続禁止- 外部ポート制限(MDM等) | - 不明なUSB機器接続禁止- 外部ポート制限(グループポリシー等) |
| ストレージ抜き取り攻撃 | SSD/HDDをPCから取り外して別PCで読み取る | 暗号化なし → 全データ読み取り | - T2チップでSSD暗号化(FileVaultオン推奨) | - BitLocker有効化(TPMまたはパスワード) |
| JTAG/デバッグポート攻撃 | ハードウェアのデバッグインターフェースからメモリ内容を直接吸い出す | 高度な技術で復号鍵や機密情報を取得 | - デバッグポート無効化(Apple設計で既定無効) | - デバッグポート無効化(BIOS設定や物理封印) |