アップルのiMessageシステムを詳しく調べたところ、同社はその逆を保証していたにもかかわらず、同サービス上の通信を簡単に傍受できることがわかったと研究者らは木曜日のセキュリティ会議で主張した。
Appleは6月、NSAのデータ収集プログラムに関する暴露を受けて、Wi-Fi経由で無料でテキストメッセージを送信できるiMessageはエンドツーエンドの暗号化によって保護されており、Appleも他社もメッセージを解読できないと主張した。
しかし、クアラルンプールで開催されたハック・イン・ザ・ボックス会議に参加した研究者らは、アップル社内の誰かが自らの意志で、あるいは政府に強制されてメッセージを傍受することが可能である可能性を示した。
iOSの脱獄ソフトを開発し、侵入テストとリバースエンジニアリングを行うパリの企業Quarkslabで働くシリル・カティオ氏は、iMessageが解読不可能な暗号化で保護されているという同社の主張は「基本的にウソだ」と語った。
研究者らは、Appleや政府がiMessageを読んでいるという兆候はなく、それが可能であるということだけだと強調した。
コメントを求められたアップルは、iMessageに関する主張には直接言及せず、代わりにNSAのPrismデータ収集プログラムに関する情報開示後の6月に発表した声明を示した。
声明には、AppleがPrismについて初めて知ったのは報道機関からの問い合わせを受けた時だったと記されている。「当社はいかなる政府機関にもサーバーへの直接アクセスを提供しておらず、顧客のコンテンツを要求する政府機関は裁判所命令を取得する必要があります」と声明は述べている。
元NSA契約社員エドワード・スノーデンが明らかにした文書には、Appleが2012年10月にPrismの一部になったことが示されている。
スヌープ防止ではない
Appleは、送信者と受信者間のiMessageの暗号化に公開鍵暗号方式を採用している。しかし、研究者らによると、Appleの公開鍵管理システムは不透明であり、iMessageがNSAなどの第三者に送信されているかどうかを知ることは不可能だという。
誰かがiMessageを送信すると、iOSデバイスはAppleの非公開鍵サーバーから受信者の公開鍵を取得し、暗号文(暗号化されたメッセージ)を作成します。iMessageは受信者が自分の秘密鍵を使って復号化されます。
問題は「Appleがこの公開鍵ディレクトリを完全に管理していることだ」とCattiaux氏は述べた。
公開鍵において、信頼は常に問題となってきました。暗号化されたメッセージを送信するには、送信者は多くの場合、メッセージの中継に使用される鍵サーバーに登録されている鍵が実際に受信者のものであると信頼する必要があります。
MITのPGP公開鍵サーバのような公開サーバであれば、送信者は少なくとも鍵が変更されたかどうかなど、より多くの情報を確認できます。その時点で、送信者は中間者攻撃の疑いがある場合、そのサーバを信頼するかどうかを判断できます。研究者によると、Appleの鍵サーバは公開されていません。
「ここでの最大の問題は、メッセージを暗号化するときに使用する公開鍵が本当に受信者の鍵であり、例えばアップルの誰かの公開鍵ではないということを制御できないことです」とカティオ氏は語った。
カティオー氏の研究仲間でGGという名前で知られる人物は、こう付け加えた。「Appleの場合、鍵は渡されるものの、それが偽物なのか、あるいは何かそういうものなのか、誰も本当には分からない。実際、これは信頼の問題だ。ユーザーにとっては本当に問題だ。」
データは監査できないシステム上に維持されるため、一般的にクラウドベースのサービスのリスクを評価したり制御したりすることはできないと、Cryptography Researchの社長兼主任科学者であるポール・コッチャー氏は述べた。
「実際には、iMessage の安全性は Apple が選択した範囲内でしか確保できないが、他のサービスの方が優れているわけではなく (ほとんどのサービスの方が劣っている)、Apple を過度に批判するのは公平ではない」と Kocher 氏は電子メールで述べた。
iMessage の暗号化そのものは堅牢だが、公開鍵の配布は Apple が管理していたことは明らかだと、ジョンズ・ホプキンス大学コンピュータサイエンス学部の准教授であるマシュー・D・グリーン氏は電子メールで述べた。
「彼らは顧客に対し、メッセージは『エンドツーエンド』で暗号化されており、解読は不可能だと主張してきました」とグリーン氏は書いている。「これは技術的にはすべて真実ですが、同時に、不正行為をしようと思えば簡単に変更できることを彼らは重々承知しています。彼らはただ、誤解を招くような行動をとっただけなのです。」
カティオー氏は、iOSデバイスを分析しても中間者攻撃を検出する方法はないと述べた。iOSはiMessageで使用する公開鍵を保存しないため、鍵が突然入れ替わったかどうか、そして最終的にiMessageがどこにルーティングされているかを確認することは不可能だ。
この研究には関与していない暗号専門家のモクシー・マーリンスパイク氏は、別の攻撃シナリオも考えられると述べている。iMessageアカウントには複数のAppleデバイスがリンクされる可能性があるため、例えばメッセージを送信するデバイスは、ユーザーのiPhoneとiPad間でメッセージをコピーするために、複数の公開鍵を取得する可能性がある。
「これにより、Apple側による傍受はさらに容易になります。技術的には厳密な『中間者』攻撃を実行する必要がないためです」と、マーリンスパイク氏はメールで述べた。「リストに独自の鍵を追加するだけで、送信者は通常送信するコピーに加えて、Appleに直接コピーを暗号化して送信することになります。」
Appleにとっての解決策は、公開鍵をiOS内の保護されたデータベースにローカルに保存することだろう、とカティオー氏は述べた。そうすれば鍵の比較が可能になるからだ。プレゼンテーションの一環として、研究者らはジェイルブレイクされたデバイス向けに、そのような比較を可能にするアプリケーション「MITM Protect」をリリースした。
マーリンスパイク氏は、誰かに自分の代わりに鍵を管理してもらうことは、暗号化されていない平文のテキストを信頼することと同じくらい安全だと指摘する。「iMessageは、その言葉が意図する意味での『エンドツーエンド』暗号化ではないのです。」
