現在、警察関係者などの法執行機関がスマートフォン(以下、スマホ)の解析をどの程度までできるのか……? そんな考察をしてみました。
この考察を皆さまにお伝えすることで、注意喚起や犯罪防止に役立つと思い共有させていただくことにしました。
なお、ニュース記事が元情報となっている部分も多々あります。ご了承ください。
スマホの2大派閥「iPhone(iOS)」と「Android」。セキュリティーを考えるならiPhoneだというイメージをお持ちの方が多いかと思います。
実際、iPhoneはApple社がFBIからの解析要求に非協力的であり、日本の司法機関への情報提供も簡単にされることはありません。
そんななか先日、強力なiPhoneアンロックツールが日本に上陸しました。
参考:「日本初! GrayKeyの取扱開始(法執行機関様限定)」お知らせ
海外ではFBIによるGrayKeyの使用が度々話題になっていたようですが、ついに日本でも取り扱いが開始されたのです。
以前にも「Cellebrite UFED」という法的機関向けスマホアンロックツールがあり日本でも使用されていましたが、GrayKeyはプロセスメモリーなども読めるようなのでCellebrite UFEDより攻撃可能範囲が広いです。
説明によれば「GrayKeyを利用することでiTunesバックアップに限定されていたiOS機器のデータ保全が劇的に変わります。パスワードロックされた端末でも、完全なファイルシステムを解析し、キーチェーンの復号も可能に。従来の手法では解析できなかったメールデータやアプリの詳細情報も取得可能です」とのこと。
バックアップをiCloudなどにしてパソコンに残さなければ大丈夫じゃないかと勘違いしそうですが、違います(そもそもiCloudにアップしたデータは捜査機関へ提供される可能性があります)。
他社製品ではiTunesバックアップに対しての攻撃をメインとしていましたが、GrayKeyではパスコードロックされたデバイスからでも直接データを抽出できるようになったということです。
すでに米国ではFBIがGrayKeyを使い、iPhone 11 Pro Maxの解析に成功した模様。
参考:米FBI、最新iPhoneをロック解除できるツールを入手済み?
ただ消去されたデータを復元することは難しいと思われるので、取り合えず消去してしまうという手段はありだと思います。
さらにいうなら、BitLockerなどで暗号化し、OS起動前のパスワード入力が必須のパソコンにデータを置き、そのパソコンと暗号化してデータのやり取りや操作をすると安全性が高いと思います(OS起動後であればDMAなどの手法でメモリーより暗号化キーが抜かれる可能性あり)。
ただ、ほかの海外ニュースで、GraykeyによるこのiPhone 11 Pro Maxの解析には相当の時間がかかったと書かれていました。また「GrayshiftがHide UIというiPhoneパスコードを窃取するためのマルウェアを開発している」という内容の記事もあります。
参考:iPhone spyware lets police log suspects’ passcodes when cracking doesn’t work
これらは裏を返せば(少なくとも最新のデバイスでは)複雑なパスコードの場合、復元に時間がかかるということです。そのため、英数字記号を含む複雑で長いパスコードにすることは有効な手段だと思います。
加えてiOSセキュリティー知識として、
・iPhone XまではBoot ROMに脆弱性があり、キーチェーンを抜き取ることができる
・実際のユーザーデータはパスコードを入れるまでは暗号化されて読み取れない
・暗号化は専用のプロセッサーにパスコードの計算結果のみが保存されている(パスコードがわからないかぎり、仮にユーザーデータにアクセスできても復号には多大な計算が必要)
などが判明しています。
この上でFBIがパスコードをクラックするのに時間がかかっていることや、今現在出ているGrayKeyの情報をまとめると「少なくとも最新のiPhoneで、パスコードが複雑であればフォレンジック対策として有効」ということになります。
スマホに秘密のデータが入っているiPhoneユーザーの皆さま、ご留意くださいませ。
コメント