Apple
2022年12月、Appleはいくつもの新しいデータ保護機能を発表しました。中でも最も重要なのは、iCloudにアップロードされるデータで、エンドツーエンド暗号化の対象となるものが増えることです。ほとんどの場合、データにアクセスできるのはキーの所有者のみとなり、Appleでさえその情報を読み取ることはできなくなります。それと同時に、賛否両論だった、端末をスキャンして児童ポルノ関連のコンテンツの有無を確認する技術CSAMに関する計画が取り下げられたことも話題になりました。
iCloud上のバックアップの暗号化
最も関心が高いイノベーションの話から始めましょう。iPhone、iPad、macOS(すべてではありませんが詳しくは後述します)のユーザーは、iCloudにアップロードされるデバイスのバックアップコピーを暗号化できるようになります。この技術は革新的で複雑なものとなっており、できる限りシンプルに説明しようとは思いますが、非常に重要な部分については詳しく掘り下げる必要があります。
Appleのモバイルデバイスは、いずれもデフォルトで、バックアップをiCloudにアップロードするように設定されています。これは非常に便利な機能で、最後にバックアップした時点の古いデバイス上のすべてのデータを新しいデバイスに復元することができます。たとえばスマートフォンを紛失した場合や故障した場合などは、これが、家族の写真や仕事のメモを取り戻す唯一の手段となります。ただ、Appleが無料で提供しているクラウドストレージはわずか5 GBのため、この機能をフル活用するには追加の容量を購入することが必要です。そうでなければ、音楽や動画などの容量の大きいファイルを削除するなど、バックアップするデータを選別する必要があります。
Appleは、これまでも常にサーバー上のバックアップを暗号化してきましたが、Appleとユーザーの両者が復号キーを持っていました。つまり、バックアップは、Appleのサーバーに対するハッキングからのみ保護された状態でした。12月に発表されたAppleのOSアップデートに導入された新しいエンドツーエンドの暗号化機能では、送信時から受信時まで常にデータが暗号化された状態となります。
このような暗号化が特に重要になるのは、メッセンジャーなどのコミュニケーションツールです。エンドツーエンドの暗号化が保証されていることは、開発者がデータの機密性を重視していることを意味します。たとえば、Apple独自のメッセージングサービスであるiMessageでは以前からエンドツーエンドの暗号化が使用されていました。エンドツーエンドの暗号化の使いやすさは実装に左右されます。たとえば、Telegramではほとんどのチャットが暗号化されておらず、アカウントと紐付けられているすべてのデバイスでそのチャットにアクセスできます。しかし、特定のユーザーとの間で別途「シークレット」チャットを作成することができ、これにより暗号化されたチャットはそのチャットを開始したデバイスにしか存在しません。その内容を見ることができるのは、チャットを開始した本人とそのチャット相手のみで、他の誰も見ることはできません。
バックアップに話を戻しましょう。デフォルトでは、iMessageでのやり取りも含めた、Apple製デバイス上のすべての情報がバックアップに保存されます。ここで注意すべきことは、iMessageのやり取りがエンドツーエンドで暗号化されていても、攻撃者が何らかの方法でユーザーのスマートフォンのバックアップコピーを入手できた場合、メッセージの履歴を読むことができる点です。もちろんそれだけでなく、写真やドキュメント、メモなど他のさまざまなデータにもアクセス可能になります。12月のアップデートでAppleが、この潜在的なセキュリティホールに対応したことを示します。
バックアップがエンドツーエンドで暗号化されると、そのデータの送信者と受信者はそのユーザー本人のみとなり、データを復号するキーを使えるのもユーザー本人のみとなります。このアルゴリズムが正しく実装されていれば、たとえAppleがデータを解読しようとしてもできなくなります。Apple IDを第三者に知られても、暗号化キーがわからなければ、データが盗まれることはありません。
この新しい設定は「高度なデータ保護」(Advanced Data Protection)と呼ばれ、設定画面はこのようになります。
高度なデータ保護の設定画面
ここで気を付けなければならない点があります。この機能を有効にすると、自分のデータへのアクセスは完全に自己責任となります。暗号化キーをなくした場合、Appleサポートに問い合わせても対応してくれません。そのため、この新しいプライバシーの設定は任意となっています。自分で有効にしないと決めた場合、バックアップはAppleからも確認することができ、ハッキングなどでApple IDが流出した場合は第三者にバックアップデータが盗まれるおそれがあります。
なお、Apple IDに最近追加したばかりのデバイスにおいて、高度なデータ保護を有効にすることはできません。他人のApple IDを不正に入手した第三者が自分のスマートフォンでエンドツーエンドの暗号化を有効にすると、被害に遭ったユーザーは自分のデータにアクセスできなくなります。自分のアカウントへのアクセスを復元できたとしても、暗号化キーが手元にないため、新しいAppleデバイスを購入した直後は、以前のデバイスからのみ高度なデータ保護を有効にできるようになっています。
その他のデータのエンドツーエンドの暗号化
Appleの新しい機能は、スマートフォン、タブレット、ノートパソコンのバックアップに限定されたものではありません。写真やメモも暗号化されます。暗号化される対象は今後拡大されるとみられていますが、現時点では、23のデータカテゴリが保護の対象となっています。これまでエンドツーエンドの暗号化が使用されていたのは14のカテゴリで、iMessageのチャット、キーチェーンのパスワード、Apple Watchのセンサーの測定値などのヘルスケア関連データのすべてが対象に含まれていました。
ただし、エンドツーエンドの暗号化が適用されないものもあります。iCloudのメール、カレンダー、連絡先などです。Appleとしては、これは他の開発者のシステムとの互換性を確保するためだということです。
Apple ID認証用のハードウェアセキュリティキー
エンドツーエンドの暗号化が組み込まれても、iPhone、iPad、Mac上のさまざまな種類のデータへのアクセスにはApple IDアカウントが使用されます。攻撃者が何らかの方法でApple IDにアクセスできるようになると、攻撃者のデバイス上にユーザーのバックアップを復元すること(これを防止するのが高度なデータ保護です)や、「探す」アプリを使ってユーザーの位置情報を追跡することが可能になります。
Apple IDの認証情報を盗み出す方法として、フィッシングが頻繁に使われます。iPhoneを盗まれても、そのままで転売できるのはせいぜい部品だけで、本体を転売することはできません。転売するには、新しい所有者が登録できるように、元の所有者のApple IDを入力して、そのiPhoneとの関連付けを解除する必要があります。そこで、元のユーザーが「iPhoneを探す」を使うなどして懸命にiPhoneを探していると、簡単に騙されることになります。Appleから送られたように見える、見慣れないテキストメッセージが、連絡先として指定してある番号に届き、Apple IDを入力してサインインするためのリンクが表示されます。すると、Appleのウェブサイトではなく、それらしい偽物のサイトにつながり、認証情報を入力すると、その情報がサイバー犯罪者の手に落ちるというわけです。残念ながら、二要素認証(コードがもう1つ必要になる認証)も役に立たない場合もあります。フィッシングのページでこの防御方法についても考慮されていて、ワンタイムパスコードの入力が求められる場合があります。
ハードウェアセキュリティキー(フラッシュドライブなどの独立したデバイス)を利用すれば、フィッシング被害に遭う可能性を大きく低減できます。この場合、Apple IDの認証にNFCキーを利用できます。NFCキーをデバイスに近付けるか、LightningコネクタまたはUSB-Cコネクタに差し込んで使用します。すべてのデータは、Appleのサーバーとの間でやり取りされる場合にのみ暗号化されます。このようなタイプの認証を、偽物のフィッシングサイトでうまく疑似的に再現するのはほぼ不可能です。
物理セキュリティキーを差し込むよう要求するApple IDのアカウントサインインの画面
iMessageの保護の強化
もう1つの革新的な機能は、Appleのネイティブのメッセンジャーに関するものです。アップデート後に、ユーザーが別のユーザーとやり取りしているメッセージを第三者が盗み見ることができる場合、ユーザーに警告が表示されます。詳細はまだ明らかになっていませんが、この機能により、中間者攻撃などの非常に巧妙な攻撃にも対抗できることが期待されています。そのような攻撃が行われれば、そのチャット内ですぐに盗聴の可能性について警告が表示されるでしょう。さらに、iMessageのコンタクトキー認証(iMessage Contact Key Verification)を使用するユーザーは検証コードを(1)メッセージをやり取りする相手と実際に会ったとき、(2)FaceTimeで、または(3)別のメッセンジャーアプリのいずれかで照合できるようになります。
iMessageのコンタクトキー認証はユーザーが意図した相手とのみやり取りしていることを確認できます
iMessageのコンタクトキー認証は、巧妙なサイバー攻撃によって大きな被害を被るおそれのある人々、ジャーナリストや政治家、有名人などに役立つでしょう。普通のユーザーにとっては、この機能は不便になるだけかもしれません。すでに利用可能になっているロックダウンモードと同様です。いずれにしても、この機能は誰でも利用可能になります。
新機能が利用可能になる時期
最も有益な機能である「高度なデータ保護」は、2022年12月13日の時点ですでに利用可能になっています。利用するには、対象のApple IDアカウントに紐づけられているすべてのデバイスをアップデートする必要があります。オペレーティングシステムの最小要件は次の通りです。
- iPhone — iOS 16.2以降
- iPad — iPadOS 16.2以降
- Mac — macOS 13.1以降
- Apple Watch — watchOS 9.2以降
- Apple TV — tvOS 16.2以降
- HomePodスピーカー — バージョン0以降
- iCloud for WindowsがインストールされたWindowsコンピューター— バージョン1以降
必要なバージョンがサポートされていないデバイスが1つでもある場合(iPhone 7以前のiPhoneや、第4世代以前のiPadなど)、アカウントからそのデバイスを削除しないと、高度なデータ保護を有効にすることはできません。なお、最新バージョンのmacOS(Ventura)では、2017年以降にリリースされたほとんどのデバイスがサポートされています。
その他の機能のリリース日は現時点で明らかになっていませんが、Appleによれば今年中に公開される予定です。
児童ポルノ対策のためのデバイスのスキャンの取り止め
Appleの広報担当者はインタビューの中で、Appleが児童性的虐待関連のコンテンツが保存されていないかスキャンするCSAM Detectionの機能を実装する計画がなくなったことについて、手短に言及しました。CSAM Detectionについては、以前こちらの記事で解説しています。振り返れば2022年8月に、Appleはデバイス上のCSAM Detection技術について発表しました。Appleが使用した、より適切な法律用語では「CSAM」(Child Sexual Abuse Material、児童性的虐待コンテンツ)です。これは、すべてのApple製デバイスにおいてバックグラウンドで画像をスキャンし、児童ポルノ画像のデータベースと合致する画像があれば、Appleに通知され、Appleから当局に通報するというものでした。
CSAM Detectionは、デバイス上に違法なものを保存していない通常のユーザーのプライバシーを侵害するものではないとAppleは主張しましたが、この取り組みには批判が寄せられました。「誤検出の可能性を最小限に抑える」というAppleの約束も役に立ちませんでした。いずれにしても、この機能は非常に透明性に欠け、何より、Appleが管理するクラウドシステム内ではなく、スマートフォンやタブレットなどのデバイス上に直接組み込まれるものでした。米国の非営利組織である電子フロンティア財団(Electronic Frontier Foundation)など、Appleを批判した側がいみじくも指摘している通り、児童ポルノの拡大を防止するという崇高な目標が、デバイス上のあらゆるコンテンツをスキャンする行為へと変化しかねません。
データのプライバシー保護に向けた第一歩
Appleが最も機微性の高いユーザーデータにエンドツーエンドの暗号化を取り入れ、物議を醸したスキャン技術を取り止めたことは、同社がユーザーのプライバシーに本気で向き合っている姿勢を示すものです。高度なデータ保護の機能を有効にすれば、iCloudに対するハッキングでデータが流出する可能性を大きく低減できるでしょう。さらに、Appleは司法の要請があってもユーザーのデータを提出できなくなります。現時点では、クラウドに情報をアップロードしているすべてのアカウントについて、Appleは司法による提出の要請に応えることが可能な状態です。
さらに、忘れてはならないのは、どのようなセキュリティ対策を講じても、遅かれ早かれハッキングの手法は見つかるということです。エンドツーエンドの暗号化であってもその技術に脆弱性が見つかる可能性はあります。Appleの革新的な技術は常に、実直なセキュリティ研究者とサイバー犯罪者のどちらからも非常に厳しくその真価を問われます。ここで覚えておくべき重要なことは、どれほどの暗号化が施されていても、ロックが解除されたApple製デバイスに第三者がアクセスできれば意味がないということです。
また、Appleの革新的なテクノロジーは確かに有益なものですが、ユーザーに不便をもたらすこともあります。ユーザーが復号キーをなくせば、データは永遠に失われます。1台しかないApple製デバイスを紛失すれば、新しいデバイスを手に入れてデータを復元しようとしても問題に直面する可能性があります。新機能について、自分にとって必要かどうかを、各自が時間を取ってしっかりと考える必要があるでしょう。
ヒント