ニュースでほぼ毎日報じられているように、オンラインアカウントへの侵入、個人情報や現金の盗難、そしてコンピューターやモバイルデバイスを乗っ取って巨大なオンライン軍隊のボットとして利用しようとする試みは、終わりなく続いています。先日発表されたiOSとmacOSのアップデートでは、Appleはセキュリティ対策を強化するだけでなく、ユーザーがより少ない負担で最善の行動をとれるようにもしています。
Apple はまた、いくつかのプライバシーの脆弱性に対処し、以前のリリースよりもさらに第三者が人々を追跡する能力を削減しました。
パスワードツールが優れているということは、パスワードも優れているということ
セキュリティ専門家は、ユーザーがサイトやサービスごとに固有の強力なパスワードを使用し、パスワードのみでログイン情報を不正に取得されることを防ぐため、可能な限り2要素認証(2FA)を有効にすることを推奨しています。AppleはiOS 12とmacOS 10.14 Mojaveで、この認証をより簡単に、より強力にしました。
iOSとmacOSのSafariは長年、サイトでログイン情報を求められた際にパスワードを提案してきました(iOS 11では開発者がアプリでこのシステムと連携できるようになりました)。しかし、Appleはこれを改善する予定です。具体的な詳細はまだ明らかにされていませんが、プレビュー版では、両OSが「強力なパスワードを作成、自動入力、保存できる」と強調されています。以前生成されたパスワードは強力と評価されていたため、Appleは生成するパスワードの解読難易度を相対的に向上させる計画に違いありません。
Appleは過去のリリースで、少なくとも2桁の数字と特殊文字など、多くの場合不必要に複雑なパスワード構成を要求するサイトに記載されているパターンを満たさないパスワードを提供していたため、不十分でした。1Passwordのようなパスワードマネージャーは、Webページの基礎となるHTMLでサイトが提供する情報を利用できるため、Appleもこの点に着目している可能性があります。
一部のサードパーティ製パスワード管理システムと同様に、iOS 12 および macOS Mojave では、iOS のパスワード リストまたは macOS 版 Safari のリストを使用して、2 回以上使用されているパスワードにフラグが付けられます。
AppleはiOS 12で、アプリやSafariのQuickTypeバーへの直接統合を可能にすることで、サードパーティ製のパスワードマネージャーに優位性を与えました。これまで、これらのシステムの開発者はSafariの共有項目を使用して、ユーザーが共有をタップし、アプリアイコンをタップしてアプリに認証し、最後に一致するログイン名またはパスワードを選択、または検索することができました。アプリ開発者は、サードパーティ企業のプログラミングインターフェースを介して、パスワードマネージャーをログイン情報に1つずつ直接統合することもできました。今後は、パスワードマネージャーはQuickTypeバーに直接アクセスできるようになるため、手順が省かれるだけでなく、ユーザーがよりユニークで優れたパスワードを選択できる可能性も高まります。
Siriはパスワード管理にも役立つでしょう。Appleによると、Siriにパスワードへのアクセスを依頼できるようになるとのことです。ログインにどのような影響を与えるかは、この記事の執筆時点では明らかにされていません。Siriにパスワードを読み上げてほしいと思っている人はいないでしょうから。
しかし、強力なパスワードと密接に関係するのは、パスワードの入力の容易さです。macOS版SafariとiOSのSafari/アプリ連携では、パスワードが自動的に提示されるか、ユーザーがパスワードを入力する必要があります。Appleは、今後のリリースでは、ユーザーが近くのデバイス間でパスワードを共有できるようになると述べています。具体的には、iOSからiOS、Apple TV、macOS間でのみ共有可能で、MacからiOS、MacからApple TV間では共有できないようです。
アカウント保護をさらに強化するもう1つの手段は2要素認証です。2要素認証は、ウェブサイトのパスワードが漏洩し、クラッカーが実際のパスワードを盗み出した場合でも、アカウントの調査や乗っ取りからアカウントを保護できます。アカウントに対応する電話番号、スマートフォン、タブレット、またはコンピューターにアクセスできない限り、2要素認証は不可能です。
多くの2FAシステムはテキストメッセージ(SMS)に依存しており、SMSを受信すると、ユーザーは一瞬の通知を頼りにするか、メッセージアプリを何度も切り替えてコードを取得する必要があります。コードは複数の数字や文字で構成される場合があります。iOS 12では、これらのコードは受信したテキストメッセージから自動的に抽出され、自動入力機能に入力されて選択できるようになります。
これは明らかに、ユーザーがより多くのサイトで2FAを有効にできるように、摩擦を減らすことで支援することを目的としています。しかし、セキュリティ専門家は、電話番号をあるデバイスから別のデバイスに移したり、テキストメッセージを傍受したりすることがあまりにも容易であるため、2FAコードにSMSを使用する時代は終わったと述べている中での導入です。Google Authenticatorは、アプリベースの2要素認証の普及において早い段階で先導しました。これは、2Dコードをスキャンしてアプリにコードをシードし、それに依存するというものです。これらのコードはデバイスにロックされたままであるため、SMSと同様に物理的な所有が必要になります。iCloudキーチェーンまたは既存のApple ID 2FAシステムにより、AppleはSMSに依存しない2FAとのサードパーティ統合のためのより強力な方法を提供できます。
最後に、Apple は FaceTime で複数人でのビデオ通話を可能にしました。このビデオ通話は、既存の 1 対 1 の音声通話やビデオ通話、複数人での音声通話と同様に、エンドツーエンドの暗号化を備えています。
りんごApple の新しいグループ FaceTime 機能はエンドツーエンドの暗号化を使用します。
共有、追跡、周辺機器のプライバシーが向上します
Appleは、第三者がユーザーのオンラインおよびデバイス上での行動に関する情報を取得するのを防ぐための取り組みを継続しています。次期リリースの最新アップデートでは、AppleはiOSとmacOSにおいて、広告主がユーザーを追跡するために使用するいくつかの追加手法をブロックしました。
iOS 12とmacOS Mojaveでは、AppleはSafariの改良により、ウェブページ上のソーシャルシェアボタンやコメントウィジェットからの許可のないトラッキングを防止します。コメントウィジェットは、多くのウェブサイトの記事やブログ投稿に表示される、ファーストパーティおよびサードパーティのデバイスであり、数百万、あるいは数千万もの関連サイトと連携していることが珍しくありません。macOSでは、これはHigh Sierraで導入されたインテリジェントトラッキング防止機能のアップグレードとされています。
Appleによると、SafariはiOSデバイスの「固有の設定」とmacOSの「デバイスの特性」へのアクセスもブロックするようになったという。ここ数年、研究者や企業のセキュリティ研究者は、ブラウザの一見偶発的な機能によって、高い確度で特定のユーザーをフィンガープリンティングできる可能性について、多くの報告書を発表してきた。これには、ブラウザベースの機能を使って文字を非表示にし、その結果を検証するといった、目立たない手法が含まれる。こうしたフィンガープリンティングの緩和策としては、リッチなウェブアプリの作成に不要な特定の情報を追跡しないようにすることなどが考えられる。
りんごSafari の次のメジャーバージョンでは、コメント システムや共有リンクからの Web サイト追跡を防ぐことができます。
サードパーティ製アプリは長年にわたり、Macユーザーがマイクやビデオカメラへのアクセスをブロック、承認、または警告する機能を提供してきました。しかし、これらのツールはユーザーの許可を得てシステムレベルのドライバーにアクセスすることができますが、オペレーティングシステムがアクセスを仲介するのとは異なります。macOS Mojaveでは、デバイスのマイクとマイクへのアクセスに許可が必要になります。また、メッセージ履歴とメールデータベースへのアクセスにもアプリの許可が必要になります。
