ロイター通信は本日、アップルが連邦捜査局(FBI)の圧力に屈したと主張した。FBIは、捜査に悪影響を与えるとして、クパチーノの同社に対し、iCloudデバイスのバックアップにエンドツーエンドの暗号化を導入する計画を中止するよう要求したと報じられている。
Apple は、2016 年に iOS にバックドアを追加してパスワードの推測を 10 回までに制限するコードを回避するように要求した FBI からの圧力に耐えたにもかかわらず、iCloud の iOS デバイスのバックアップにエンドツーエンドの暗号化を採用したことは一度もなかったが、今ではその理由がわかっている。
レポートより:
約2年前にアップルが方針を転換したことは、これまで報道されていませんでした。これは、政府との注目を集める法廷闘争において強硬な姿勢を取り、顧客情報の擁護者という立場を表明してきたにもかかわらず、アップルが米国の法執行機関や情報機関をいかに積極的に支援してきたかを示すものです。
元アップル社員によれば、クパチーノを拠点とするこの巨大テクノロジー企業は悪い評判を避けたいと考えており、犯罪者を守る企業として公務員にイメージをつけられることを望んでいなかったという。
「もうこれ以上、問題を起こさないと決めたんだ」と関係者は語った。別の従業員は「法務部門が、ご想像通りの理由でそれを止めたんだ」と語った。
同社の最新の透明性レポートによると、Apple は iCloud から iOS デバイスのバックアップを法執行機関に提供していることを公然と認めている。
こうしたリクエストの例としては、紛失または盗難にあったデバイスに関する支援を要請したお客様に代わって法執行機関が対応している場合などが挙げられます。また、Appleは詐欺捜査に関連する複数デバイスのリクエストを定期的に受けています。デバイスベースのリクエストでは、通常、デバイスまたはAppleサービスへのデバイス接続に関連付けられたお客様の詳細情報を求めています。
9to5Mac の Benjamin Mayo 氏によると、エンドツーエンドの暗号化は、政府の要請から iOS デバイスのバックアップを iCloud で安全に保つという意味で次のようになります。
エンドツーエンド暗号化は、サーバー上に保存されていない要素に基づいて暗号化キーを作成することで機能します。これは、ユーザーのパスワードや、ローカルのiPhoneやiPadのハードウェア上に保存されている暗号キーとキーを絡ませることを意味します。たとえ誰かがサーバーにハッキングしてデータにアクセスしたとしても、復号に必要な絡み合ったキーがなければ、データはランダムノイズのように見えます。
Apple は現在、エンドツーエンドで暗号化されていない方法で iCloud バックアップを保存しています。
つまり、復号鍵はAppleのサーバーに保存されるということです。警察がAppleに召喚状を持って来た場合、Appleは復号鍵を含むiCloudデータ全体を提出しなければなりません。これはさらに様々な影響を及ぼします。例えば、iMessageサービスはエンドツーエンドで暗号化されていますが、iCloudバックアップに保存されている会話はそうではありません。
つまり、デバイス間でメッセージを同期させる iCloud のメッセージ機能はエンドツー暗号化を使用していますが、iCloud バックアップを有効にすると、デバイスのバックアップにメッセージを保護するキーのコピーが含まれるようになるため、この機能は無意味になります。
Appleによると、これによりiCloudキーチェーンや所有するすべての信頼済みデバイスにアクセスできなくなった場合でも、メッセージを復元できるようになります。「iCloudバックアップをオフにすると、今後のメッセージを保護するためにデバイス上に新しいキーが生成されますが、Appleには保存されません」と、Appleはウェブサイト上のiCloudセキュリティに関するサポートドキュメントで主張しています。
さらに、Apple はカレンダーエントリ、ヘルスケアデータベース、iCloud キーチェーン、保存された Wi-Fi パスワードなどに対して選択的に iCloud エンドツーエンド暗号化を採用していますが、写真、iCloud Drive 内のファイル、電子メール、その他のカテゴリには採用していません。
FBI当局は最近、iPhoneの「ロック解除」を拒否することでAppleがテロリストや性的捕食者を支援していると非難しようとしたが、フォーブスの記者トーマス・ブリュースターは、法執行機関が最近の犯罪捜査中にGrayShiftのGrayKeyツールを使用してロックされたiPhone 11 Pro Maxからデータを入手したことを明らかにした。
これは、Appleの最新iPhoneが本質的に安全ではない、あるいはGrayShiftデバイスやCellebriteソフトウェアなどのツールによるハッキングを受けやすいという意味ではありません。iOSがハッキングされる可能性があるというだけです。暗号化を制御し、パスコードやFace ID/Touch IDを評価する内蔵のSecurity Enclave暗号化コプロセッサが侵害されたという意味ではありません。
GrayKeyのようなツールは、iOSオペレーティングシステムの脆弱性を悪用してパスワードの試行回数制限(10回)を解除し、パスワードを推測します。このソフトウェアを削除した後、これらのツールはブルートフォース攻撃を利用して、有効なパスコードが見つかるまで何千ものパスコードを自動的に試行します。
ニューヨークタイムズ紙のジャック・ニカス氏は次のように書いている。
このアプローチは、ペンサコーラ事件におけるワイルドカードとなるのは容疑者のパスコードの長さだ。もしパスコードがiPhoneのデフォルトである6桁であれば、当局はほぼ確実に解読できる。しかし、それ以上長ければ、解読は不可能かもしれない。
以前のデフォルトの長さである4桁のパスコードでは、解読に平均約7分かかりました。6桁の場合は平均約11時間かかります。8桁の場合は46日、10桁の場合は12.5年です。
パスコードに数字と文字の両方が使われている場合、考えられるパスコードの種類ははるかに多くなり、解読にかかる時間も大幅に長くなります。6文字の英数字パスコードを推測するには、平均72年かかります。
iPhoneが各パスコードを計算するのに80ミリ秒かかります。短いように思えるかもしれませんが、ソフトウェアは理論上、1秒間に数千ものパスコードを試行できることを考えると、遅延を考慮すると、1秒間に試行できるのは約12回です。
重要なポイントは、パスコード評価の 80 ミリ秒の処理時間は、Secure Enclave によってハードウェアで制限されているため、ハッカーが回避できないということです。
それで、上記すべてを合計するとどうなるでしょうか?
Daring Fireball の John Gruber 氏が指摘しているように、携帯電話がハッキングされることを心配している場合は、6 桁の数字のパスコードではなく、英数字のパスフレーズをパスコードとして使用してください。
暗号化に関しては、Apple は最新の透明性レポートで次のように述べ、デバイス上の暗号化を無効にすることはできないし、無効にするつもりもないと主張している。
私たちは常に、善良な人々だけが利用できるバックドアなど存在しないと主張してきました。バックドアは、国家安全保障やお客様のデータセキュリティを脅かす者によっても悪用される可能性があります。今日、法執行機関は歴史上かつてないほど多くのデータにアクセスできるため、アメリカ国民は暗号を弱めるか捜査を解決に導くかという二者択一を迫られることはありません。私たちは、暗号化は国家とユーザーのデータを守るために不可欠であると強く信じています。
ロイターの記事に戻ると、暗号化を違法とすることに対する国民の支持を集めるために、米国政府がさらなる試みをすると予想しています。
最近の Apple 対 FBI 事件や暗号化全般についてどう思いますか?
下のコメント欄でお知らせください!
