iPhone 3.0ソフトウェアアップデートにおけるセキュリティ関連の大きな機能の一つは、少なくともMobileMeアカウントをお持ちの方にとっては、「iPhoneを探す」のリモートワイプコマンドです。万が一iPhoneを紛失した場合でも、Web上でMobileMeアカウントにログインし、リモートコマンドを発行することで、iPhoneのデータを安全に消去し、復元不可能な状態にすることができます。
ほとんどの人はこの機能を試さないでしょう。なぜなら、iPhoneをコンピュータに接続して最新のiTunesバックアップからコンテンツを復元するまで、iPhoneが使えなくなるからです。しかし、私たちは普通の人ではありません。まさにこうした仕事でお金をもらっているのですから。そこで私は、手に入る限りのiPhoneとiPod touch(少なくともMobileMeアカウントを設定できるものはすべて。「iPhoneを探す」とリモートワイプが機能するにはMobileMeアカウントの設定が必須だからです)をリモートワイプしてみることにしました。
拭く準備
「iPhoneを探す」を設定するには、いくつかの手順が必要です。
- iPhone または iPod touch のメール アプリで MobileMe 電子メール アカウントを設定する必要があります。
- 設定(メール、連絡先、カレンダー)でプッシュを有効にする必要があります。
- その MobileMe 電子メール アカウントに対して「iPhone を探す」を有効にする必要があります (設定: メール、連絡先、カレンダー: [MobileMe アカウント名])。
- iPhone または iPod touch がインターネットに接続されている必要があります。
iPhone または iPod touch に複数の MobileMe アカウントが設定されている場合、「Push and Find My iPhone」を有効にできるのは 1 つのアカウントのみであることに注意してください。
デバイスのセットアップが完了したら、MobileMe Web サイトにログインし、ページ上部の [アカウント] ボタン (アカウント パスワードの再入力を求められます) をクリックし、アカウント ページで左側の [iPhone を探す] をクリックすることで、[iPhone を探す] 機能 (リモート ワイプを含む) にアクセスできます。
MobileMeサービスは、iPhoneまたはiPod touchの位置を特定し、画面上の地図上にその位置を表示します。「メッセージを表示」ボタンを使用すると、携帯電話の画面にメッセージを送信できます。例えば、携帯電話を紛失した場合、「この携帯電話はジェーンのものです。415-555-1234にお電話いただくと、特典があります!」といったメッセージを送信できます。また、携帯電話やiPodを家の中で置き忘れてしまった場合は、同じボタンを押すだけでiPhoneまたは第2世代iPod touchからソナーのような音が鳴り、位置特定に役立ちます。(この音は、携帯電話やiPodがサイレントモードの場合でも再生されます。ただし、サイレントモードではないものの、着信音/音量を最小にしている場合は聞こえません。)
しかし、ここで注目すべき機能は「リモートワイプ」です。このボタンをクリックすると、続行するとすべてのデータと設定が永久に消去されるという、いかにも不吉な警告が表示されます。実際には「理解しました」というボックスにチェックを入れ、別のボタンをクリックして続行する必要があります。ただし、良い点は、上で触れたように、iPhoneやiPodを復元できた場合は、デバイスをコンピュータに接続するだけで、最新のiTunesバックアップから完全に復元できることです。これは、iPhoneやiPod touchをiTunesと定期的に同期させるべき理由として説得力があります。
(「iPhone を探す」でメッセージ、サウンド、ワイプのいずれのオプションを選択した場合でも、デバイスがコマンドを受信すると、MobileMe アドレスに電子メールが届きます。)
リモートワイプ: 速いか遅いか?
iPhoneやiPod touchのメモリを消去するプロセスは驚くほど簡単です(そして、メン・イン・ブラックの「光を見ろ」的な感覚で、妙に気持ちが良いです)。しかし、3、4台のデバイスを消去した後、Appleの「iPhoneを探す」/「リモートワイプ」のドキュメントには記載されていないことに気づきました。iPhoneやiPod touchの「ワイプ」にかかる時間は、モデルによって大きく異なるのです。iPhone 3GSにワイプコマンドを送信した場合、処理が完了するまでに1分もかかりませんでした。しかし、古いiPhoneやiPod touchにコマンドを送信した場合、2時間以上もかかりました。
なぜこの違いが生まれるのでしょうか?先月のWWDC基調講演をご覧になった方、あるいは後ほどiTunesで基調講演をご覧になった方は、iPhone 3GSにハードウェア暗号化が搭載され、すべてのデータがオンザフライで暗号化されることを覚えているかもしれません。つまり、iPhone 3GSの場合、リモートワイプは実際に電話機のコンテンツ全体を消去する必要はありません。暗号化キーを安全に削除するだけで、このプロセスはほぼ瞬時に完了します。暗号化キーがなければ、データは完全に消去されたも同然です。
しかし、古いiPhoneとiPod touch(両モデルとも)ではデータが暗号化されていないため、リモートワイプでは最後の一滴まで確実に削除する必要があります。Finderの「ゴミ箱を安全に空にする」機能を複数のファイルで使ったことがある人なら、この操作にどれだけの時間がかかるかご存知でしょう。このプロセスを数ギガバイトのデータに適用すると、なんと数時間もの処理時間が必要になります。実際、AppleはMacworldの取材に対し、リモートワイプの所要時間の違いはこの点にあると認めています。安全な消去には、暗号化されていないデータ8GBごとに約1時間かかります。
どれくらい安全ですか?
ここで当然、セキュリティ上の疑問が浮かび上がります。この長時間に及ぶデータ消去プロセスが中断されたらどうなるでしょうか?科学的根拠に基づいて、第二世代iPod touchを強制的に再起動してみました。ホームボタンとスリープ/スリープ解除ボタンを約10秒間押し続け、データ消去開始直後に再起動したのです。確かに再起動は成功し、ホーム画面に戻りました。そこからは、すべてのアプリとデータに簡単にアクセスできました。(このiPod touchには画面ロックのパスワードがありませんでした。データを安全に保ちたいのであれば、パスワードを設定する必要があります。パスワードを設定しないと、窃盗犯は設定アプリを開いて「iPhoneを探す」を無効にし、データ消去コマンドの送信を阻止することができます。)
不安になり、もう一度試してみましたが、今度はワイプ開始から15秒待ってから強制再起動を実行しました。すると今度はiPod touchが再起動し、シルバーのAppleロゴが画面にずっと表示されたままになりました。これはワイプが進行中であることを示すはずです。さらに2回強制再起動しましたが、結果は同じでした。デバイス内部で何が起こっているのか正確には確認できないので確証はありませんが、特定の期間を過ぎると、強制再起動してもワイプが続行されるようです。
とはいえ、この非常に短い機会がリモートワイプ機能の唯一の脆弱性というわけではありません。iPhone Forensicsの著者であるJonathan Zdziarsky氏が指摘するように、この長時間のワイププロセスの最中に、誰かがiPhoneまたはiPod touchを強制的に再起動し、デバイスをリカバリモードにし、iTunesでデバイスのOSを復元することが可能です。こうすることで、まだワイプされていない個人ファイルやデータは、フォレンジックリカバリツールでアクセス可能になります。(幸いなことに、ほとんどの人はそのようなツールを持っていないか、使い方を知らないため、データにアクセスすることはできません。)
もう1つの問題は、前述の通り、iPhoneまたはiPod touchがリモートワイプコマンドを受信するには、デバイスがインターネットに接続されている必要があることです。窃盗犯がハードウェアよりもデータに関心がある場合、iPhoneのSIMカードを抜くことで、Wi-Fi接続を除いてインターネットから切断されます。窃盗犯が設定アプリにアクセスできる場合、Wi-Fiを無効にして、iPhoneまたはiPod touchが近くのWi-Fiネットワークに自動接続するのを防ぐこともできます。(繰り返しになりますが、画面ロックのパスワード設定の重要性が強調されます。)
つまり、「iPhoneを探す」が有効になっているからといって、完全に安全だと安心するべきではありません。しかし、少なくともその仕組みと、消去の速さが異なる理由を理解した上で、この機会にぜひお試しください。
2009年7月15日午前10時45分更新:プッシュ設定の要件を明確化しました。
