ウォール・ストリート・ジャーナルのテック記者、ニコール・グエン氏とジョアンナ・スターン氏が、AppleのiPhoneセキュリティ設計における問題点を暴露した記事の続編を再びお届けします。前回の記事では、肩越しに覗き見する窃盗犯がユーザーのパスコードを発見し、iPhoneを盗み、Apple IDのパスワードを変更して「探す」を無効にしてからApple Payで購入したり、iCloudキーチェーンのパスワードにアクセスしたり、写真アプリで写真をスキャンして個人情報窃盗に利用したりする方法について説明しました(「iPhoneのパスコードが盗まれた窃盗犯があなたのデジタルライフを台無しにする方法」2023年2月26日号参照)。
グエン氏とスターン氏は、別の記事(有料)と付随ビデオで、パスコード窃盗犯がユーザーのApple ID復旧キーを変更した場合に何が起こるのかを検証しています。これもiPhoneのパスコードさえあれば可能です。つまり、窃盗犯は被害者をiCloudアカウントから、場合によっては永久にロックアウトし、貴重な写真などへのアクセスを遮断することができるのです。Appleは同情的な対応を見せましたが、ユーザーがアカウントに再びアクセスできるよう支援は行っていませんし、実際に支援できたわけでもありません。
すべてを支配する1つの回復キー
問題は、窃盗犯が復旧キーを設定またはリセットすると、パスワードを紛失した場合、Apple IDアカウントへのアクセスを回復するには復旧キーしか使えなくなることです。Appleは、通常のアカウント復旧プロセスでは対応できなくなりました。Appleは、復旧キーの作成によってユーザーに新たな責任が生じることを明確にしていますが、技術に精通し、整理整頓を心がけるユーザーにとっては、許容できるトレードオフと言えるでしょう。
盗まれたiPhoneのパスコードしか持たない泥棒が、回復キーを設定またはリセットできるようにすることは許されません。これは、たとえユーザーが回復キーを設定する意図がなかったとしても、あるいは既に安全に管理していたとしても、アカウントがロックされる危険性を孕んだ状況を生み出します。記事には次のように書かれています。
キャメロン・ディバインさん(24歳)は8月、ボストンのバーでiPhone 13 Proを盗まれた後、10年以上前のデータへのアクセスを取り戻そうとAppleのカスタマーサポートに何時間も電話で話したという。担当者は皆、同じことを言った。「回復キーがなければアクセスできない」と。ディバインさんは、回復キーの存在すら聞いたことがなく、ましてや設定したことなどないと話した。
記事には、Appleが復旧キーを無効化し、ユーザーがアカウントへのアクセスを回復できた別の事例も紹介されています。Appleはこの件についてコメントを控えていますが、このユーザーはAppleの「ビジネスサービス」を利用していたと報じられており、このユーザーのiPhoneがデバイス管理に登録されており、一般ユーザーのiPhoneとは異なっていた可能性が示唆されています。
Apple のプラットフォーム セキュリティ ガイドで回復キーがどのように機能するかについての詳細な説明は見つかりませんでしたが、私の理解では、回復キーは基本的に、Apple の通常のアカウント回復オプションに代わる、ユーザー管理の暗号化キーの 2 番目のコピーとして機能します。
AppleのiCloud向けAdvanced Data Protectionのようなエンドツーエンドの暗号化を有効にするには、ユーザーが暗号化キーを生成し、管理する必要があります(「AppleのAdvanced Data ProtectionでiCloudデータへのキーがさらに増加」2022年12月8日参照)。Appleの世界では、これらのキーは自動的に生成され、Secure Enclaveに保存されます。そして、その紛失を防ぐため、AppleはAdvanced Data Protectionを有効にするユーザーに対し、アカウント復旧の連絡先を指定するか、復旧キーを設定することを義務付けています。これは、Appleが暗号化キーを管理していないため、パスワードが紛失したり、窃盗犯によってリセットされたりした場合に、ユーザーがアカウントにアクセスできるよう支援できないためです。
この脆弱性に対処するためにAppleができること
私の理解が正しければ、パスコードやiPhoneの盗難被害に遭った人々への支援に関して、Appleは不誠実でも妨害的でもないはずです。復旧キーが設定されると、Appleは支援することができなくなります。必要な暗号化キーを管理できなくなるからです。だからこそ、ユーザーはアカウントから永久にロックされる可能性があるのです。
ウォールストリート ジャーナルの記事では、被害者がさまざまな身分証明書を使ってアカウントの所有権を証明しようとしていると述べられているが、要点が抜けている。身元が問題なのではなく、データは Apple が管理していないキーで暗号化されているため、単にアクセスできないだけなのだ。
究極の解決策は、パスコードの強度を弱めることです。強力で固有のパスワードを作成する必要があると常に言われていますが、多くの人にとって最も重要なデバイスが、6桁のパスコードだけでロックされています。Appleは、Apple IDのパスワードや復旧キーのリセットを許可する前に、追加の認証(例えば、パスコードなしでFace IDやTouch IDをフォールバックとして使うなど)を要求することで、パスコード盗難によるより深刻な影響からユーザーを守ることができます。
言うのは簡単ですが、細部にこそ多くの問題が潜んでいることを私は重々承知しています。Appleは、強固なセキュリティと、アカウントにアクセスできなくなったユーザーへの支援との間で、微妙なバランスを保っています。パスコードやiPhoneを盗まれた比較的少数の人々のリスクと、Apple IDのパスワードを忘れてしまい、他にAppleデバイスを持っていない多くの知識の浅いユーザーが直面する問題とを天秤にかけようとしているのかもしれません。しかし、Appleは、ごく少数の重要ターゲットにしか利用されない可能性のある脆弱性に対する頻繁なセキュリティアップデートで、すべてのユーザーに不便をかけることを厭いません。セキュリティは常にバランスの取れた行為なのです。
自分を守るためにできること
パスコード保護に関する私のアドバイスは、前回の記事からほとんど変わっていません。「iPhoneのパスコードが盗まれたらデジタルライフが台無しになる」では、以下の点について書きました。
- 公共の場では iPhone の物理的なセキュリティに注意してください。
- 公共の場では常に Face ID または Touch ID を使用してください。
- パスコードを公共の場で使用する必要がある場合は、近くにいる人からパスコードを隠してください。
- パスコードは、絶対に信頼できる家族以外には教えないでください。
グエン氏とスターン氏が提案するように、より長い英数字のパスコードを作成することは有効かもしれませんが、それは盗み見をする人が覚えられないほど長く複雑な場合に限られます。しかし、そのような人物は、あなたがパスコードを入力する様子をこっそりと録画し、iPhoneを盗んだ後にその動画を参照する可能性があります。録画中は目立ちやすいかもしれませんが、複雑なパスコードを入力する際には、周囲の状況に気を取られることになります。そして、パスコードを明かさない限り、これらの方法も身体的な危害の脅威から身を守ることはできません。
現時点で最も効果的な保護策は、前回の記事で説明したように、スクリーンタイムを使うことです。スクリーンタイムを有効にし、別途4桁のスクリーンタイムパスコードを設定し、「コンテンツとプライバシーの制限」に移動して「アカウントの変更」>「許可しない」を選択すれば、そのパスコードがなければ、窃盗犯はApple IDのパスワードや復旧キーのオプションを簡単に変更できなくなります。
残念ながら、スクリーンタイムのパスコードは、あなたを含め、誰も「設定」>「あなたの名前」にアクセスして変更することができないようにすることで、その機能を実現します。変更するには、「設定」>「スクリーンタイム」>「コンテンツとプライバシーの制限」>「アカウントの変更」>「スクリーンタイムのパスコード」>「許可」と選択する必要があります。また、変更が完了したら、このオプションを「許可しない」に戻す必要があります。もしAppleがiOS 17を調整し、ブロックされたオプションにアクセスする際、二次的なセキュリティチェックとしてスクリーンタイムのパスコード入力を求めるようにすれば、スクリーンタイムのパスコードを推奨しやすくなります。
さらに問題なのは、スクリーンタイムのパスコードを無効にする過程でApple IDのパスワードをリセットし、スクリーンタイムによるアカウント変更の制限を回避できる可能性があるということです。AppleはiOS 16.4.1でこの脆弱性の一部を修正したと報じられていますが、私はパスコード以外何も知らない状態でApple IDのパスワードを変更することができました。Apple IDアカウントが数日間ロックされるリスクがあったため、私のテストは期待していたほど徹底的なものではありませんでしたが、Appleには間違いなくこの件でまだ改善の余地があるでしょう。
データ保護のためにできることがもう1つあります。iCloudに保存されているすべてのデータをローカルにバックアップすることです。iCloudアカウントにアクセスできなくなったユーザーの多くは、写真の喪失に特に動揺していました。これは当然のことですが、簡単に回避できます。
Macの写真アプリでオリジナル画像をダウンロードするように設定し、それらのオリジナル画像がバックアップ計画に含まれていることを確認してください。バックアップ計画には、少なくともTime Machineとオフサイトバックアップ、そしてできれば起動可能な複製も含める必要があります。すべての画像を保存するのに十分な空き容量が必要です。それが問題になる場合は、写真ライブラリを外付けハードドライブに移動できます。
このバックアップでは、アカウントを乗っ取った窃盗犯から写真を守ることはできませんが、少なくとも画像は失われません。
気をつけてお過ごしください。
オリジナル記事を読む