iOSのセキュリティに関するFAQ
先日、セキュリティ研究者ジョナサン・ジジアルスキーは、アップルによりiOSに故意に仕掛けられたと思えるバックドアを見つけ、これを大いに批判している。これはある状況下に置いて第三者が、iPhoneやiPadを通じて、告知もなく、ユーザーが同意していない様な形で個人情報を入手できるものだ。
ジジアルスキーの分析に対し、アップルはいつものようにその存在を否定している(後日、アップルは「診断機能」という形でバックドアの存在を認めた)。
これはややこしい話だ。そこで問題を整理するためにFAQを用意した。
これは慌てなければならないような話でしょうか?
そんなことはない。ブログに投稿されたジジアルスキーがした事の要約にも、「慌てることはありません」とある。
彼によれば、バックドアは平均的なレベルの電脳犯罪者が簡単に仕掛けられるものだという。また、これがアップルが盗聴その他の犯罪目的に使用する為のものだという証拠はないとの事だ。今分かっている時点ではだが。
話は変わるが、もしNSAやその他の国家機関があなたを追跡していると考えるのであれば、こういったエージェントはあなたのデジタルライフを監視するためのいくつかのバックドアは仕掛けられているかも知れないと、ジジアルスキーは言う。
ともあれこういった事は興味深い噂話かもしれないが、アップルはこの件に関して説明しなければならない。
ちょっとまって、そもそもバックドアって?
言葉が示す通り、バックドアとはセキュリティで固められたシステムに入り込めるガードされてないルートの事を言う。マシュー・ブロデリックが映画「ウォー・ゲーム」で演じた、WOPRにアクセスするのに、システムを作った人間が仕掛けたバックドアのパスワードを思いついた一幕を思い出して欲しい(ちなみにそのパスワードは、開発者の死んだ息子の名前だった。古典的な酷いパスワードだ)。
NSAなどの機関がこのバックドアをどの様に使うのでしょう?
ジジアルスキーは科学捜査のエキスパートであり、かつてiPhoneでの開発について本も書いたこともある。またiOSの脱獄でも名の知れた存在だ。彼によると、iOSのサービスのうちの3つがiPhoneに記録されている扱いに注意が必要なデータに対して通常ではないアクセスをしているという。これらのサービスはこのデータを回収し、リクエストに応じてUSBやWi-Fi越しにダンプするようデザインされているという。
この機能については文章化されていなかった。つまりアップルが第三者が開発で用いる為に情報を開示している訳ではないと言うことだ。ジジアルスキーによれば、このサービスはおよそ6億台のiOSデバイスにインストールされ、アクティブになっているという。このサービスが動いているという告知の類は何もなく、ユーザーはこれをOffにすることは出来ない。
そして一番気持ち悪い点が、このサービスはたとえiTunesでバックアップを取る際に暗号化すると設定した場合でも、データを暗号化せずに送信する事が出来るということだ。ジジアルスキーはこの挙動を「バックアップの暗号化をバイパスしている」といっており、人の欺く類のものだという。
どうもパニックになる話のようですが?
分かっているのは、この問題はiPhoneやiPadが、例えばいつもiTunesを立ち上げているPCなどの、信用されているデバイスにペアリングされている時に起きるという事だ(Bluetoothやヘッドフォンの接続などはこの内に入らない)。この事は攻撃を受ける機会をかなり制限することとなる。
しかしながらペアリングの偽装は可能性である。あらゆるペアリングでは、信頼するデバイス同士で暗号化された鍵と証明書を発行する。そしてiPhone側において、この鍵と証明書は完全にリストアされるか出荷状態に戻されない限り消えることはない。
iOSのバージョンが7より前(つまり現状多くのiPhoneで使われている状態)の場合、ペアリングはユーザーの問い合わせなしに自動的に行われる。(iOS7ではペアリングした際、「このデバイスを信頼しますか?」と聞かれる)
ジジアルスキーの2014年3月のジャーナルへの投稿によると、iPhone(特にiOS7以前)に接続されるとPCはiPhoneにスケルトン鍵を渡す。そしてその鍵と証明書は攻撃者がその気になれば別のデバイスにコピーできるという。
どういった人が鍵をコピーして問題を起こすの?
もし組織的犯罪にあなたが巻き込まれたとしたら、警察はこれを利用するかも知れない。NSA、FBIといった情報機関もそうだろう。もちろんの事だが、時計やチャージ機などの一見差し障りがなさそうなデバイスとのペアリングによって、この問題が悪用される可能性はある。
しかし先に述べたように、これはハッカーがいつどのような時でもあなたのiPhoneを乗っ取ることが出来るという話ではない。
この文章化されていなかったサービスについてもう少し教えてください。そもそもこれはどういったものなのですか?
先週末ニューヨークで開催されたHope X ハッカーカンファレンスでのプレゼンで、ジジアルスキーはcom.apple.pcapd、com.apple.mobile.file_relay、com.apple.mobile.house_arrestという技術上の名前で知られる3つのサービスについて語った(その時のスライドはこちら。全部で58枚ある)。
pcapdサービスはセキュリティ専門家達が「パケット・スニッフィング(パケット盗聴)」と呼ぶ、いわゆるデバイスを出入りするトラフィックを記録するサービスを走らせる。これはデバイスが開発モードで動いていようがなかろうが走り続ける事から、開発目的の機能でないことが予想できる。またこれがアクティブになっている時、ユーザーに何か告知されるような事はない。
「このことはペアリングレコードをもっているものはUSBやWiFiを通じて目標となるデバイスに接続し、そのデバイスのネットワークトラフィックをモニタ出来るという事だ」と、ジジアルスキーは3月のレポートに書いている。
file_relayサービスは大きなデータをiPhoneから吸出し、暗号化されていない形でダンプするために存在するという。数年前、file_relayは特に差し障りの無い物のように思えた。iPhoneOS2.0(iOSの前身)では、file_relayは”Apple Support”、”network”、”Crash Reporter”を含むたった6つのデータにしかアクセスできないものだった。
それがiOS7では44にもなっており、多くは所有者の個人情報に関するものである。これらには一時ファイルにキャッシュされた、アドレス帳、アカウント情報、GPSログ、iPhoneの全ファイルシステムのマッピング情報、入力された単語、フォト、メモ帳、カレンダー、通話履歴、ボイスメールその他の個人情報を含む。
ジジアルスキーがfile_relayの事を「デバイス所有者に関する情報を犯罪的な手段で入手できる最大の源」であり、「法的な強制執行か、スパイ活動を通じて入手する様なデータを大量に引き出す事が出来る、バックドアの主軸となるサービス」と評するのも驚くべきことではない。
3つ目のサービス、house_arrestは、もともとiTunesがドキュメントを第三者が作ったアプリとやり取りするために用意されたものだった。ところが今ではフォト、データベース、スクリーンショット、クラッシュ時の一時情報ファイルを含む更に多くのアプリに関連するデータにアクセスできるようになっている。
これらサービスの機能が合法的な目的で用意された可能性は?
なぜこの様に多くの情報に勝手にアクセスできるようなものを用意したのかは理解に苦しむところだが、可能性としてはありえる。
ジジアルスキーはもし目的が合法的である場合、そう考えられる理由として、これらのサービスはiTunesやXcode(アップルのIDE)で使われる為だとか、開発者のデバッグ用のため、アップルのテクニカルサポートのため、アップルの開発者がデバッグに用いるため、といった例を挙げ、そしてそれらを逐一否定している。
このような文章化されておらず、バックアップの際にかけられる暗号化も行わず、普通アクセスできないようなデータにもアクセスし、ユーザーに何の通知も行わなわずにデータをダンプしてしまう様なサービスが、監視や盗聴といったものではなく、何か正当な理由を持ったものであると納得させるような説明を考えるのは非常に難しい。また忘れてはならない点だが、アップルはiOSの幾つかのバージョンにまたがって、これらサービスのコードのメンテナンスも続けている。
これまでのアップル技術部が協調性にかけた内輪揉めを繰り返してきたことを考えると、これらのサービスが出来たのに特にこれといった意図はなく、今に至るまで生き続けているのはただのアクシデントのようなものだったと考えられなくもない。エンジニアは新しいコードを書かずに技術的な問題を解決することに苦労しているなか、やり方としてはおかしいが、これらのサービスを問題解決に利用してきたという考え方だ。
もっともらしい説明と言えるだろうか? あなたの考えは私のそれと同じだろうと思う。それにどのみちこれは大きなセキュリティ上の欠陥だ。
この件についてアップルが説明しないとならない点とは?
アップルにメールでこの件についてのコメントを求めたが、例によって今の所回答はない。
しかしながら、Financial Timesの記者 ティム・ブラッドショーに対しては回答があったようだ。
彼はこうTweetしている。
Apple statement denies working with “any government agency … to create a backdoor in any of our products”
— Tim Bradshaw (@tim) Jul 22, 2014
「アップルは、製品に政府機関の働き掛けでバックドアを仕込んだ事を否定している」
この回答は勿論の事ながら、漠然としたありふれたものだ。これはアップルがpcapd,file_relay, house_arrestについて具体的に名前を出して説明したものではなく、あくまでにデバイス診断機能の一般的な事について言明しているに過ぎない。(その後、アップルの広報からバックドアサービスについて文章化したという知らせと共に、私の質問への回答があった)。
またこの回答はジジアルスキーの基本的な質問に答えていない。もしこれらのサービスが診断機能だというのであれば、なぜ文章化されなかったのか? なぜユーザーが情報をアップルに送信することを拒否できないのか? なぜこれらのサービスをOffにすることはできないのか?
アップルは「政府国家機関の働き掛けで」製品にバックドアを忍ばせたことについても、否定するための説明を強いられる事になるであろう事は興味深い展開である。
アップルの声明についてジジアルスキーは何か意見があるのでしょうか?
もちろん。先週月曜の晩のブログの投稿で、彼は自分の意見についてこうまとめている。
どんなOSでも診断機能は持っている。しかし問題となっているこれらのサービスはアップルがユーザーと交わした「バックアップパスワードを入力すると、データはiPhoneから暗号化された形で出力されます」という約束事を破るものだ。ユーザーはこれらの仕組みに気がついているわけでも、何か通知を受けるわけでもない。これらのサービスがユーザーの同意なしに大量のデータを流出させたことは、どうやっても正当化されることじゃない。
ジジアルスキーに改めてコメントを求めているが、今の所彼からの回答はない(後日、ジジアルスキーから「あまり多くを語るだけの時間がない」という連絡があった)。
画像提供
トップ画像:Mooganic(Flickrより)
白鳥の画像:blinking idiot(Flickrより), CC 2.0
David Hamilton
[原文]
※本記事はReadWrite Japanからの転載です。転載元はこちら
