Appleは、iPhone 5sに搭載された全く新しい指紋センサー「Touch ID」に関して、いくつかの重要な疑問に答えていません。この便利な機能は、Appleが2012年にイスラエルに拠点を置く生体認証セキュリティ専門企業AuthenTecを買収したことに由来しています。簡単に言えば、Appleはホームボタンで指をスキャンするだけで、ユーザーをデバイスに簡単かつ安全に認証し、iTunes Store、App Store、iBookstoreでの購入を承認できるようにすることを目指しています。
次に何が起こるかは誰にも分かりません。Appleのウェブサイトにも、入手可能な販促資料にも、詳細はほとんど明らかにされていません。プライバシーに関する懸念が高まりつつあることを察知したのか、Appleは広報担当者を派遣し、新型iPhoneがユーザーをセキュリティリスクにさらす可能性があるという懸念を払拭しようとしました…
iPhone 5s は実際の指紋画像を保存するのではなく、指紋データを暗号化された形式で保存すると、同社の広報担当者はウォール ストリート ジャーナルに語った。
指紋スキャナを搭載したアップル社の新型iPhone 5Sは、ユーザーの指紋の実際の画像をデバイス内に保存しないことを同社広報担当者が水曜日に確認した。この決定はプライバシー保護主義者の懸念を和らげる可能性がある。
むしろ、Appleの新しいTouch IDシステムは「指紋データ」のみを保存し、それはiPhoneのプロセッサ内で暗号化されたままであると同社代表者は水曜日に述べた。
保存された指紋のデジタルプロファイル(指紋データ)は、センサーと照合され、ユーザーを認証します。仮に誰かがチップを解読したとしても(これはほぼ不可能であるはずですが)、指紋をリバースエンジニアリングすることは「おそらく」不可能だろうとウォール・ストリート・ジャーナルは推測しています。
Apple は 48 時間の消去手順を課しています。
水曜日のインタビューで、Appleの広報担当者は同社が同端末に追加した他のセキュリティ機能についても言及した。Touch IDの使用を希望するAppleの顧客は、バックアップとしてパスコードも作成する必要がある。
電話機が再起動された場合、または 48 時間ロック解除されていない場合は、そのパスコード (指ではない) のみで電話機のロックを解除できます。
これはハッカーが指紋スキャナーを回避する方法を見つけようとして「時間稼ぎ」できないようにするための設計です 。設定にはTouch IDの有効/無効を切り替えるスイッチがありますが、バックアップ対策としてパスコードが必須であることはこれまで知られていませんでした。
もうひとつの豆知識: Touch ID は一般消費者向けノートパソコンによく搭載されている不安定な指紋スキャナよりは改善されているが、Apple によれば、汗をかいた指では確実に動作しない可能性があるとのことだ。
しかし、心配しないでください。必須のパスコードは、センサーが指を読み取れなかった場合の便利な代替手段です。
広報担当者によると、事故や手術による傷のある指など、一部の指の読み取りにも問題がある可能性があるという。
これらのケースでは、Apple はユーザーが「スキャナーで別の数字を正常に使用できる」ことを発見しました。
また、昨日の iPhone 5s/5c 基調講演で Apple の幹部が語った内容から、指紋データ (ここでも指紋画像ではなく指紋プロファイル) が新しい A7 チップの安全なモジュールに保存されることもわかっています。
このモジュールにアクセスできるのは、ホームボタン内の Touch ID チップのみです。
Appleは指紋データをクラウドに吸い上げることにも慎重だ。
Appleのプレスリリースには、「Appleのサーバーに保存されることも、iCloudにバックアップされることもありません」と書かれている。
「すべての指紋情報は暗号化され、iPhone 5sのA7チップ内のセキュアエンクレーブに安全に保存されます」と同社は強調しています。セキュアエンクレーブは、上記のA7チップのグラフィック上で小さな白い四角形で表されています。
Appleのハードウェアエンジニアリング担当SVP、ダン・リッチオ氏は、Touch IDのプロモーションビデオで「このセンサーは高度な静電容量式タッチを使用して、本質的に指紋の高解像度画像を撮影します」と説明しています。
Journalの報道によると、AppleがアプリによるTouch IDスキャナーの利用や指紋プロファイルへのアクセスを禁止しているのは安心材料です。本日お伝えしたように、AppleはiCloud経由で保存されたウェブパスワードのデバイス間同期を停止した可能性があります。これは、Appleが将来的にウェブサイトやアプリなどでユーザー認証機能を追加することでTouch IDを強化すると考えられていることから、もう一つの予防措置である可能性があります。
