High Sierra Mac にアクセスできる人なら誰でも管理者権限を取得できるという欠陥を迅速に修正した後、Apple は、そのソフトウェア、具体的には iOS 11 を安全にするためにまだ取り組むべきことが残っていると今週主張した。
パスワードクラッキングのフォレンジックIT企業エルコムソフトのセキュリティ研究者オレグ・アフォニン氏は、水曜日のブログ投稿で、フルーツをテーマにした同社がモバイルOSに加えた変更により多層防御が剥ぎ取られたため、iOS 11を「恐怖の物語」と呼んだ。
残っているのは、iOS デバイスのパスコードという単一障害点だけだと彼は主張した。
iOS デバイスとそのパスコード(障壁ではあるものの、特に強力なものではありません)を使用すると、攻撃者はデバイスだけでなく、デバイス所有者の Apple ID に関連付けられたさまざまなリンクされたクラウドサービスやその他のハードウェアにアクセスできます。
アルフォニン氏はThe Registerとの電話インタビューで、iOS 11のリリース前はiOSに複数の保護層があったと説明した。
「当時の機能は十分だったと思います」と彼は言った。「Appleはパスコード以外のレイヤーをすべて放棄したようです。今では、保護スキーム全体がパスコード一つにかかっているのです。」
変更されたのは、iTunesのiOSデバイスのバックアップパスワードです。iOS 10以前では、ユーザーはiPhone上のデータの暗号化されたバックアップコピーを保護するために、固有のパスワードを設定できました。このパスワードはハードウェアと共に保存され、iTunes経由で別のバックアップを作成するためにiPhoneを別のコンピュータに接続しようとすると、同じバックアップパスワードを入力する必要がありました。
iOS 11ではすべてが変わりました。Appleのナレッジベースでは、「iOS 11以降では、パスワードをリセットすることで、デバイスの暗号化された新しいバックアップを作成できます。」と説明されています。
これはセキュリティ上の問題です。iTunesで作成されたデバイスのバックアップには、ロック解除されたiPhoneだけで入手できるデータよりもはるかに多くのデータが含まれているからです。そして、そのデータはElcomsoftなどの企業が販売しているフォレンジックツールを通して入手される可能性があります。
「侵入者がユーザーのiPhoneにアクセスし、パスコードを知る(または復元する)と、もはや何の保護手段も残っていません」とアルフォニン氏は投稿で説明しています。「すべて(本当にすべて)が完全に無防備になります。ローカルバックアップ、キーチェーン、iCloudロック、Appleアカウントのパスワード、クラウドバックアップと写真、iCloudキーチェーンのパスワード、通話履歴、位置情報、閲覧履歴、ブラウザタブ、さらにはユーザーの元のApple IDパスワードまでもが、あっという間に漏洩してしまいます。」
つまり、リスクは侵害を受けた携帯電話やそれに関連する Apple デバイスだけにとどまらず、Apple の iCloud キーチェーンに、たとえば Google や Microsoft のパスワードが含まれている可能性があるのです。
AppleのSecure Enclaveセキュリティチップではどんなコードが実行されているのでしょうか? 復号鍵が判明しました…
続きを読む
アルフォニン氏は投稿の中で、警察、FBI、そしてユーザーからの苦情を受けて「Appleは諦めた」と示唆した。今回の変更が当局をなだめるために行われたと考える根拠があるかと問われると、アルフォニン氏は「警察のために行われたとは思わない。ユーザーからの苦情だけだったと思う」と答えた。
それでも、iOS の変更は、たとえば国境検問所などで当局とやり取りする人々にとって大きな影響を及ぼします。
「国境を越えれば、パスコードの提示を強制されるかもしれない」と彼は言い、毎年何千件もの電子機器の検査が行われていると指摘した。
このパスコードがあれば、当局は独自のデバイスのバックアップを作成して保管することができ、後からデバイス自体とは関係のないパスワードを抜き出すことも可能になる。「そうなれば、彼らは私の持っているすべてのパスワードにアクセスできることになる」と彼は語った。
アルフォニン氏は、iOS 11によってAppleのセキュリティ対策全体が崩壊したと述べた。彼はこの状況を、セレブゲートとして知られる2014年のiCloudハッキング事件に例えた。
「これらのiCloudアカウントはパスワードだけで保護されていました」とアルフォニン氏は述べた。「現在も同様の状況です。たった一つの方法だけでは、十分な保護とは言えません。」
この問題を解決するために、アルフォニン氏は以前の状態に戻すことを提案しています。「当時は完璧にバランスの取れたシステムでした」と彼は言います。「真剣に不満を言う人はいなかったと思います。iTunesバックアップのパスワードをリセットする機能は不要です。iOS 10の状態に戻していただければ完璧です。」
もちろん、これはアルフォニン氏とエルコムソフト氏の意見に過ぎません。情報セキュリティ業界の他の人々は彼の主張に納得していませんでした。例えば、クラウドセキュリティ企業Capsulate8の共同創業者であるディノ・ダイ・ゾヴィ氏は、彼の主張に全く同意しませんでした。
これらの機能は、ロック解除されたデバイス、またはロック解除されたデバイスとTouch IDによる認証だけを必要としません。パスワードなどをリセットするには、既に信頼されているロック解除済みのデバイスでパスコードを入力する必要があります。
— Dino A. Dai Zovi (@dinodaizovi) 2017 年 12 月 1 日
Appleはコメント要請に応じなかった。®
追記: AppleのiPhone Xは顔認証情報をアプリと共有するため、一部のユーザーが懸念を抱いています。また、macOS 10.13.0にパスワード不要のルートセキュリティパッチをインストールし、その後10.13.1にアップグレードした場合は、パッチを再インストールしてください。Appleのソフトウェア・アップデート機能によって自動的に行われるはずです。そして、再起動してください。.0から.1へのアップグレードは、緊急修正プログラムを無効にするためです。
