セキュリティは昨今特に注目されている話題だ。というのも、手紙は少ないが予算は潤沢である政府機関が、自国民をスパイしていると非難され続けており、偶然のバグのように見えるものが、実際には意図的なものである可能性について激しい議論が巻き起こっているからだ。
騒動の渦中にある中、AppleはiOSセキュリティに関するホワイトペーパーを更新しました。これは、モバイルプラットフォームを可能な限り安全に保つための思考プロセスと技術を概説した、長年にわたる文書です。ここでは、この最新版から特に興味深い点をいくつかご紹介します。
金物店よりも多くの鍵
昨年6月、AppleがiMessageのデータは「エンドツーエンドの暗号化によって保護されている」という声明を発表したのを覚えていますか?どうやら、Appleは本気でそう言っていたようです。
多くのインターネットサービスと同様に、iMessage は公開鍵暗号方式を利用して動作します。この技術は、暗号学的に安全なランダムデータに基づく2つの非常に長い数字を使用し、それぞれを使って、もう1つの数字で暗号化された情報を復号化します。各デバイスでメッセージ機能を起動すると、iOS は鍵のペアを生成し、そのうちの1つ(適切にも「公開鍵」と呼ばれます)をApple に送信し、もう1つをローカルメモリストレージに安全に保管します。
さて、ここからが面白いところです。誰かがあなたにメッセージを送信したい場合、その人はあなたのデバイスすべてに属する公開鍵をすべて Apple に要求し、それぞれの公開鍵を使ってメッセージの個別のコピーを暗号化し、暗号化されたメッセージを Apple 社に送信します。すると Apple 社は、そのメッセージを iOS のプッシュ通知システムを使って適切なデバイスに転送します。
重要なのは、各デバイスの秘密鍵はインターネット経由で送信されることは決してないということです。秘密鍵がなければ、対応する公開鍵を使用して暗号化されたデータは復号化できません。つまり、企業が主張するように、実際にはユーザーのメッセージを読むことはできません。
ただし、このシステムは絶対に安全ではないことに注意してください。理論上、Appleはすべてのデバイスで使用される公開鍵のディレクトリを管理しているため、Appleは独自の公開鍵セット(対応する秘密鍵もAppleは把握しています)を密かに追加したり、追加を強制されたりすることで、メッセージングネットワークで交換されるあらゆる情報にアクセスできるようになります。したがって、Appleを信頼している限り、iMessageは安全であると言えるでしょう。これは、メールサービスが受信者への送信途中でコピーを取らないと信頼している限り、メールが安全であるのと同じです。また、電話会社があなたの母親を装った人物に電話を転送しないと信じている限り、メールが安全であるのと同じです。
ケーブルに果物が入っている
FlickrのUnten44 Lightning ケーブルに搭載されている認証チップは、Apple の財布を紙幣でいっぱいにするだけでなく、デバイスの安全性を確保するのにも役立ちます。
さまざまなメディアで長らく噂されていたように、Apple の Lightning ケーブルには、iOS が認定メーカーによって製造されたことを検証するために使用できる特別な認証チップが実際に組み込まれています。
セキュリティホワイトペーパーによると、このチップは実際にはAppleによって製造されており、同社のみが知る特別なデジタル証明書が組み込まれている。「Made for iPhone」プログラムに参加するメーカーは、このチップをAppleから直接受け取り、製造時に製品に組み込む。
興味深いことに、認証プロセスはケーブルに限定されません。Bluetooth や Wi-Fi 接続を使用するものも含め、iOS と通信する承認済みのアクセサリはすべて認証を組み込む必要があります。そうしないと、オペレーティング システムが適切に動作しないリスクがあります。
このプロセスにより、Apple は利益の大きいアクセサリのライセンス事業を厳しく管理し、標準以下のハードウェアを製造したり、同社の公式承認を得るために必要なロイヤルティの支払いを拒否したりするサードパーティの製造業者を排除できるのは間違いないが、認証チップは、悪意のある人物が充電したいという理由だけで携帯電話やタブレットにマルウェアを注入できる可能性を減らすことで、安全性の維持にも役立つ。
Siriは何でも知っているが、話さない
AppleのデジタルアシスタントであるSiriも、セキュリティ面で注目を集めています。同社は、Siriの有効性とユーザーのプライバシーおよびセキュリティのバランスをとるための対策を講じています。
Siri はあなたについて知ろうとしますが、それは絶対に必要な場合のみです。
ご想像のとおり、Siriは非常に複雑なため、その処理の多くは個々のデバイスではなくAppleのサーバー上で実行されます。これにより、音声を操作可能なテキストに変換するといった、アシスタント機能の中で最も負荷の高い部分をAppleがオフロードできるようになり、iOSの従来のアップグレードサイクルとは別にサービスを更新することが可能になっています。
明らかに、これは Siri が機能するためにはデバイスが Apple にかなりの情報 (デジタル アシスタントのサービスを要求するたびに名前と大まかな地理的位置とともに送信される音声の完全な録音から始まる) を送信する必要があることを意味します。
しかし、Appleはユーザーのプライバシーを最大限に保護するために、プログレッシブディスクロージャーと呼ばれる仕組みを採用し、サーバーに届く情報の量を制限しています。例えば、近くのレストランを探す必要がある場合、SiriのサーバーはiPhoneに正確な位置情報を送信するよう要求することがあります。また、メールやSMSのメッセージをSiriに読み上げさせたい場合、システムのリモート部分はそのタスクをデバイス自体に委任するため、個人データが携帯電話やタブレットの外に出ることはありません。
Appleは、入手したユーザーのデータをどのように扱うかについても明確にしています。書き起こしや位置情報などの情報は10分後に破棄されますが、録音は最大2年間保存されます。ただし、6ヶ月経過すると、情報源を特定できる可能性のあるすべてのデジタルデータが削除されます。おそらくAppleは、これらのデータを音声認識ソフトウェアの精度向上に役立てているのでしょう。特に固有名詞や音楽、映画のタイトルといった非標準的な単語の認識に役立てているのでしょう。
美しいチップ以上のもの
iPhone 5sに搭載されているA7と呼ばれるCPUには、様々な技術が詰め込まれています。その中には、「セキュアエンクレーブ」と呼ばれる特別なコプロセッサがあり、iOSに特別なセキュリティ保護領域を提供するために設計されています。
各エンクレーブには製造時に固有のデジタル識別子が付与されます。この番号はAppleでさえも把握していないため、たとえ高度なハッカーがデバイスを物理的に盗んだとしても、エンクレーブに保存されている情報はユーザーの明示的な許可なしには取得できません。
Touch ID は指紋を認識できますが、携帯電話のその他の部分では指紋を取得できません。
エンクレーブには独自のセキュアオペレーティングシステムが搭載され、デバイスの他の部分とは独立して起動します。また、特別な技術を使用して、実行されるソフトウェアがAppleによって正式に承認されたものであることを保証します。エンクレーブとのすべての通信は、安全に暗号化されたメモリ領域で行われ、エンクレーブが搭載されたデバイスが起動するたびに、異なる鍵で再暗号化されます。
こうした不安はすべて良いことだ。なぜなら、エンクレーブは、Touch ID を使用する際に指紋で iPhone のロックを解除するために必要なデジタル情報など、デバイスに保存される最も機密性の高い情報の一部を保存するのに使用されるからだ。
キーチェーン同期は核攻撃にも耐えられるだろう
AppleはiCloudキーチェーンを、核の冬のような事態以外ならほぼあらゆる状況に耐えられるように設計したようです。MobileMeからiCloudへの移行中にこの機能が廃止された後、復活するまでに長い時間がかかったのも、おそらくそのためでしょう。ホワイトペーパーによると、iCloudのパスワードをリセットした場合、アカウントがハッキングされた場合、あるいは外部の組織やAppleの従業員によってiCloudシステム自体が侵害された場合でも、キーを安全に同期して復元できるはずです。
この偉業を成し遂げるために、Apple は非対称デジタルキーと高度な楕円暗号化アルゴリズムの複雑なネットワークを使用し、手動制御 (デバイス上でユーザーが手動で入力する必要があるアクティベーション コードなど) と組み合わせて、サーバー上に保存されているキーチェーンの内容を復号化するのに十分な情報を同社が保持しないことを事実上保証しています。
興味深いことに、この機能を担当したエンジニアたちは、特別なマークが付けられたデータのみがクラウドに送信されるように、ある程度の選択性を組み込んでいます。iOSはこの機能を利用して、VPNログイン情報などデバイス固有の情報を同期プロセスから除外し、ウェブサイトの認証情報やパスワードなどの他の情報は同期プロセスから除外しています。
反グーグル
総じて、Apple のホワイトペーパーは、少なくとも公的には、顧客のセキュリティとプライバシーに真剣に取り組んでいる企業の姿を描き出している。
セキュリティとプライバシーは Apple 製品の核であり、象徴的なデザインと同様に、同社が競合他社と一線を画すのに役立っています。
もちろん、Appleの主張の真偽は、ユーザーが同社にどれだけ信頼を置いているかに大きく左右されます。なぜなら、私たちはAppleのサーバー施設に勝手に入り込み、ソースコードを見せてほしいと頼む(いや、要求する)ことはできないからです。iCloudとSiriを経由するほぼすべてのデータはエンドツーエンドで暗号化されていますが、それでもクパチーノのApple社員が悪意を持ってAppleのサービス(あるいはOS自体)に手を加え、私たちのあらゆるメール、通話、テキストメッセージを密かに侵害する可能性は依然として残っています。
しかし、私には、プライバシーとセキュリティはAppleにとって単なるプライドやマーケティングの売り文句以上のものだと思えます。Apple製品の主要なセールスポイントの一つなのです。ホワイトペーパーの冒頭で同社が述べているように、「AppleはiOSプラットフォームをセキュリティを中核に設計しました」。複雑な暗号化メカニズム、デジタル鍵交換、ソフトウェアサンドボックス、ハードウェア保護といった機能はすべて、シンプルなメッセージに集約されます。「Apple製品に投資していただければ、私たちはあなたの人生に干渉しません」。
この姿勢は、ユーザー情報を可能な限り収集、整理、そして抽出することにこだわるライバル企業Googleとは対照的です。経営陣からエンジニアに至るまで、たとえそれが怠慢であったとしても、Appleのビジネスは回復が非常に困難なほどのダメージを受けるでしょう。
