月曜日、iPhone 6でApple Payを有効にするため、iOS 8.1をインストールしました。その日のうちに試してみるつもりでした。(ネタバレ:結局試しませんでした。)これにより、同じiCloudアカウントにサインインしているiOSデバイスとMac OS Xデバイス間のシームレスな接続機能であるContinuityも有効になりました。私の2011年中期モデルのMacBookはHandoffとInstant Hotspotには対応していませんが、SMS転送と通話は可能です。
その日の後半、一見無関係に見える3つの出来事が起こりました。まず、認証されていないブラウザでTwitterにログインしたところ、2要素認証(2FA)が有効になっていたため、パスワード入力に成功した後にTwitterからテキストメッセージが届きました。そして、Appleの宣伝通り、Macにも表示されました。なるほど、と思いました。
次に、Yosemite が Spotlight の候補として Apple に送信する情報の詳細な説明を読みました。この情報から、個人を特定し、検索用語やその他の要素をユーザーに関連付けるのに十分な詳細情報が得られる可能性があります。うーん。
3つ目は、夕方、ニューヨーク・タイムズ紙が、最新のiPhoneの発売を受けて、中国でiCloudユーザーのログイン情報を盗むための中間者攻撃が行われたという記事を掲載したことだ。ふん。
額面通りに受け取ると、これらは3つの無関係な問題です。SMSベースの2FAのセキュリティ低下、個人情報の漏洩、そして安全な接続の整合性を損なおうとする試みです。私は陰謀論を広めたり、これらの問題の重大性を誤って伝えたりするつもりはありません。
むしろ、新たな情報経路を常に検証し、関連する懸念を軽視すべきではないことを強調したい。デジタル識別子は容易に拡散、盗難、悪用される可能性があるため、データの送信先や中断方法を変えるものはすべて、慎重に検討する必要がある。
SMS転送を例に挙げましょう。ビジネスで使用されている2段階認証/2要素認証システムのほとんどは、ログインを認証する2つ目の要素を生成するために、ハードウェアトークン、認証アプリ、または専用ソフトウェアを必要とします。(これらの2段階認証ログインに関する詳しい背景情報については、先週のコラムをご覧ください。また、今後もこれらについてさらに詳しく取り上げる予定です。)
Twitterは例外ですが、注意点があります。Twitter版の2FAである「ログイン認証」を有効にすると、ログイン認証に毎回SMSメッセージでコードを送信するか、Twitterアプリ(iOSまたはAndroid)を使って認証するかを選択できます。私はSMSを選択しました。Twitterアプリをインストールしたくないので、SMSを選択しました。私の知り合いの多くも同じような状況です。(SMSは、携帯電話を紛失した場合や復元する場合にも役立ちます。復元後、Twitterアプリをインストールしてログイン認証を行うまでのループが完了するまでは便利です!)
2段階認証の一般的な枠組みは、ユーザーが知っている情報(パスワード)とユーザーが所有する情報(通常は、固有のトークンを生成または受信する物理デバイス、または単に所有してロックを解除するだけで所有権を証明し、少なくともその物理的なデバイスを所有していることを確認できるデバイス)を組み合わせることです。AppleのiCloud 2段階ログインにおける「信頼できるデバイス」モデルはこれに該当します。コードを表示するには、ロックを解除できるiOSデバイスが必要です。ただし、Appleは信頼できるデバイスの代わりにSMSコードを送信することも選択できます。(3つ目の要素である「ユーザー自身」は生体認証に依存します。)
そのため、Twitterの二要素認証コードが記載されたSMSメッセージがMacに表示されるのを見て、私は困惑しました。Macは私が所有しているデバイスなのにです。SMS転送が導入される前は、そのようなテキストメッセージはiPhoneという単一のデバイスにしか表示されませんでした。iPhoneは常に持ち歩いているか、手元にあるデバイスです。Macからログインしているのに、別の経路であれ同じMacにコードが表示されるとしたら、二要素認証のメリットの一部、あるいは全部を損なっていることになるのでしょうか?
AppleのSMS転送の実装により、ログインしているすべてのiCloudアカウント(ネットワークに関係なく)がSMSメッセージを受信できます。iPhoneやその他のiOSデバイスが受信を通知する方法は、通知設定とOS Xのメッセージアプリが最前面にあるかどうかによって異なります。
少なくともiCloudの2ファクタ認証では、コードを送信するデバイスを正確に指定できます。SMSのみを使用すると、その番号でSMSメッセージを受信できるあらゆるデバイスにコードが送信されてしまう可能性があります。Yosemiteのおかげで、送信可能なデバイス数が急増しています。
複雑になるのは、誰かが私のパスワード(私が知っているもの)を入手し、私が近くにいないときにロック解除された状態の私のコンピューター(私が持っているもの)にもアクセスできる場合だけです。他のすべてのContinuity機能はBluetooth接続または同じローカルWi-Fiネットワークへの接続を必要としますが、SMS転送はスマートフォンと他のデバイスがインターネットにアクセスできる環境であればいつでも動作します。そうなると、コンピューターとスマートフォンが地球の反対側にある可能性もあるため、リスクはさらに大きくなるように思われます。
しかし実際には、パスワードを誰かに教えたり、書き留めたり、コンピュータ上の読み取り可能な場所に残したり、コンピュータをロック解除した状態で日常的に放置して、ルームメイト、パートナー、子供、親、または強盗や窃盗犯がアクセスできるような状況でない限り、それが問題となるシナリオを想像するのは難しいでしょう。
それが当てはまるシナリオであれば、被害に遭わないよう対策するのは簡単です。パスワードを共有したり、簡単に見つけられるような場所に置かないようにし、セキュリティとプライバシーで「パスワードを要求」の時間を短く設定してください。(スリープ時間またはスクリーンセーバーの遅延時間のうち、どちらか短い方に、「パスワードを要求」の設定からコンピュータがロックされるまでの時間を加えた時間です。)また、リモートロックとデータ暗号化には、「Macを探す」とFileVaultの使用を常にお勧めします。
月曜日に発生した他の2件の状況は、性質が異なっていました。「fix macosx」の人々は、Yosemiteがデフォルトで送信するデータの種類を調査し、新しい統合型Spotlightの検索結果を向上させることに利用しました。この状況も、必ずしも驚くべきものでも不安を抱かせるものでもありませんが、3つの要素が欠けています。ユーザー情報の送信はデフォルトでオンになっていること、無効にするには少なくとも2つの設定が必要であること、そして「fix macosx」サイトが立ち上がった後、AppleがThe Vergeに大量の詳細情報を提供したにもかかわらず、十分な情報を開示していなかったことです。
Appleのより詳しい説明は人々の懸念を和らげるものの、位置情報サービスを含む3つもの設定をオフにしなければならない理由や、ユーザーへの情報開示がそれほど詳細ではなかった理由については説明されていない。Caitlin McGarry氏が数日前に書いたように、「AppleはYosemite、iOS 8、そして新型iPhoneの新機能で、デリケートな領域に踏み込んでいる。…人々がより多くの個人情報を提供するのであれば、Appleは検索結果に関して信頼できることを証明する必要がある」。
詳細な説明は、「システム環境設定」>「Spotlight」で、「Spotlight の検索候補とプライバシーについて」をクリックすると表示されます。
Appleは、情報送信を有効にする前に、ユーザーに何を送信するのかを正確に知らせる、スキップ可能な簡単なチュートリアルを提供すべきだと主張できるかもしれない。(簡単に言うと、Appleは「ぼかし」のかかった位置情報などのデータをトークンに添付する。トークンは15分以上は保持されず、IPアドレスも保存されないとしている。)
当初の報道を見て、私たちはただ首を横に振って「Appleはすべて正しいことをしているはずだ」と言えばよかったのでしょうか?決してそうではありません。Appleはより完全な情報開示を求めているからです。
最後に、おそらく中国政府によるiCloud認証セッションの傍受の試みは、一見無関係に思えますが、現代のリスクの高い世界において、常に注意深く観察し、注意を払う必要があるという状況の一端に関わっています。この改ざん攻撃は、ユーザーとAppleのサーバーの間にある特権ネットワークリソースを利用した中間者攻撃(MitM)によって行われます。しかし、Appleの暗号化技術により、このMitMは偽造されたWebセキュリティ証明書しか提示できません。
Appleが問題理解の助けとなるよう公開したページで指摘しているように、無効な証明書はブラウザでエラーを発生させますが、このエラーは回避されるべきではありません。中間者攻撃のリスクと現実性が高まったため、ブラウザメーカーは時間の経過とともに無効な証明書の受け入れをより複雑にしてきました。
セキュリティの危険信号を無視するように訓練されていると、こうした警告を見て「ああ、インターネットだからね。何かをやろうとしているから、クリックして警告を無視するだけだ」と考えてしまうかもしれません。
私たちは油断できません。Apple やその他の企業が、あらゆる変更がセキュリティに与える影響を強調し、技術に詳しいユーザーも一般ユーザーも同様に、私たち全員が引き続き注意を払うようにする必要があります。
