iCloudに情報握られても、本当に安心なのか。セキュリティを捜査

私はApple製品の「純正アプリ」をひたすら推薦しているのですが、そのデータを束ねる機能である「iCloud」って本当に安全なのか調べてみます。

2023年の「iCloudのセキュリティ」新着情報まとめ

iCloudのセキュリティについて調べているついでに見つけた「新製品情報」や「発売が噂されるもの」などの情報をざっくりまとめて置いておきます。

iCloudのセキュリティに関する新着ニュース

iCloudのセキュリティに関する新着ニュースをまとめています。

iPhone脆弱性「BLASTPASS」：緊急のセキュリティアップデートがリリース

2023年9月9日の、iPhoneのセキュリティ脆弱性「BLASTPASS」に関する情報をお届けします。

• トロント大学のセキュリティ研究室”The Citizen Lab”が、iPhoneに悪意のあるファイルを受信するだけで任意のコードが実行される脆弱性「BLASTPASS」を発見
• この脆弱性はNSO Groupによって開発され、要人やジャーナリストを監視するためのスパイウェア「Pegasus」の配布に悪用されている
• Appleはこの脆弱性を修正するためのソフトウェアアップデートiOS 16.6.1をリリース

脆弱性の詳細と対策

この脆弱性は、特定のiPhoneとiPadのモデルに影響を与え、ユーザーが悪意のある画像や添付ファイルを処理すると任意のコードが実行される可能性があります。具体的には、以下の2つの脆弱性が報告されています：

1. CVE-2023-41064
   • 影響を受けるモデル: iPhone 8以降、iPad Pro全モデル、第3世代iPad Air以降、第5世代iPad以降、第5世代iPad mini以降
   • 内容: 悪意のある画像の処理により任意のコードが実行される可能性
   • 対策: iOS 16.6.1にアップデート
2. CVE-2023-41061
   • 影響を受けるモデル: iPhone 8以降、iPad Pro全モデル、第3世代iPad Air以降、第5世代iPad以降、第5世代iPad mini以降
   • 内容: 悪意のある添付ファイルにより任意のコードが実行される可能性
   • 対策: iOS 16.6.1にアップデート

The Citizen Labは、ユーザーがiOSのソフトウェアアップデートを実施できない場合、iPhoneのロックダウンモードを有効にすることを推奨しています。これにより、攻撃をブロックすることが可能となります。アップデート方法は、設定アプリを開き、「一般」→「ソフトウェアアップデート」→「ダウンロードしてインストール」と進め、パスコードを入力することで完了します。

AppleのiCloud全面暗号化実施に賛否両論

2023年9月9日の、AppleのiCloudの全面暗号化政策に関する情報をお届けします。

• Appleは2022年12月7日に、iMessageのセキュリティ強化、Apple IDへの物理セキュリティキー追加、及びiCloudの暗号化対象拡大を含む3つの新しいセキュリティ機能を発表
• 電子フロンティア財団は、この新機能の発表を強く歓迎し、2019年からの要求が実現したと評価
• 一方で、元FBIセクションチーフのサーシャ・オコネル氏は、この新ポリシーによるトレードオフに懸念を示している

電子フロンティア財団の立場と反応

• 電子フロンティア財団は、この動きを”VICTORY!”と評価しており、特にiCloudのバックアップがユーザーによって暗号化可能になることを歓迎しています
• 財団は以前からIT企業にセキュリティ強化を求めるキャンペーンを展開していた
• 財団はまた、AppleがiCloudフォトの児童への性的虐待記録物のチェックシステムの導入を破棄したことも歓迎しています

警察当局とFBIの懸念

• サーシャ・オコネル氏は企業がセキュリティを優先することは良いが、それによりできなくなることも多いと指摘
• FBIは、Appleの新しい暗号化ポリシーに対し「合法的なアクセスが可能な設計」を求めていると報じられています
• Appleのクレイグ・フェデリギ氏は、FBIが暗号化を制限してきたという報道を否定しています

​¹​

• 電子フロンティア財団の声明
• The New York Timesの記事
• MacRumorsの記事
• GIGAZINEの記事
• Fix It Alreadyキャンペーン
• Dustin Volzのツイート
• Joanna Sternのツイート

iCloudのセキュリティの新機能情報

カテゴリ名の新機能情報についてまとめています。

Appleが「iOS 16.3」と「iPadOS 16.3」をリリース

2023年1月24日の、Appleの新しいアップデート「iOS 16.3」と「iPadOS 16.3」に関する情報をお届けします。

• Appleは1月23日に「iOS 16.3」と「iPadOS 16.3」を公開し、新しい壁紙、iCloudの高度なデータ保護、およびApple ID用のセキュリティキーなどの新機能を導入
• アップデートは無料で提供され、設定アプリの「一般」-「ソフトウェア・アップデート」セクションからダウンロード・適用できる
• 緊急SOS機能の改善や複数のバグ修正が含まれ、特にセキュリティ関連の修正が13件行われた

新機能と改善点詳細

• 新しいユニティの壁紙: 黒人歴史月間を記念して、黒人の歴史と文化を称える新しい壁紙が導入されました
• iCloudの高度なデータ保護: 米国内でiCloudデータのエンドツーエンド暗号化が拡張され、バックアップ、メモ、写真など合計23カテゴリが含まれるようになりました
• Apple IDのセキュリティキー導入: 新しいデバイスでの2ファクタ認証時に物理的セキュリティキーが必要となり、アカウントセキュリティが強化されました
• バグ修正: 以下の問題が修正されました
  • スキー場での緊急SOS機能の誤発信防止
  • 描画した筆線が共有ボードに表示されない問題
  • ロック画面の壁紙が真っ黒になる問題
  • iPhone 14 Pro Maxでスリープ解除中に横線が表示される問題
  • “ホーム”のロック画面ウィジェットにホームAppの状況が正確に表示されない問題
  • Siriがミュージックのリクエストに正しく応答しない問題
  • CarPlayのSiriへのリクエストが正しく認識されない問題

セキュリティ関連の修正

• このアップデートには13のセキュリティ修正が含まれ、これには情報漏洩やサービス運用妨害（DoS）、アプリによるカーネル権限での任意コード実行、プライバシー設定のバイパスなどにつながる可能性がある問題が含まれます。なるべく早くアップデートを行うことが推奨されます。

iCloudが安全な理由

iCloudが安全ではない場合、Appleデバイスに関わるかなり多くのデータが流出してしまいますが、同時にクラウドシステムの中でも利用者が多いためハッカーには狙われやすいという性質があります。

ぶちくま

過去にはアカウントが乗っ取られたりしたこともあるようですが、以降、目立った話は聞きません。実際のところ、どうなのでしょうか？

公式の説明

まずは、公式がどのように安全か、熱弁してもらいます（引用）

iCloud では、お客様の情報を暗号化して転送し、iCloud にも暗号化したフォーマットで保管し、認証には安全なトークンを使って守ります。また、所定の機密情報に関しては、エンドツーエンドの暗号化を採用します。この場合、情報の持ち主本人だけが、iCloud にサインインしているデバイスからのみ、情報にアクセスできます。ほかの誰も、たとえ Apple でも、エンドツーエンドで暗号化された情報にはアクセスできません。

https://support.apple.com/ja-jp/HT202303

ということです。

ぶちくま

なんか凄そうだけど、「よし、安全だね」という気持ちにはなれないんだけど。

では、Apple公式の説明を読み解くための、簡単な用語説明からしていきます。

AppleのiCloudを支えるセキュリティシステム

公式HPを読んでいてもよくわからないのが、「セキュリティの凄さって、専門用語ばっかりで伝わってこない」と言うところがあると思うのです。何にせよ、わからないことがあれば調べるのです。

2ファクタ認証

いわゆる、２段階認証のことです。

家計簿アプリのセキュリティでも学びましたが、基本的に今の時代、２ファクタ認証は必須です。もし、まだ他のデバイスでの認証を必要としない大事なパスワードがあれば、いますぐに対応しましょう。

家計簿アプリが安心な理由と、危険な不正Appの違いを見極める

家計簿アプリのセキュリティを心配する声が届きましたので、今回だけ特別に疑問にお答えする形で記事を書きました。結論、リスクはあれど利用するメリットの方が大きい、がやっぱり危険と隣り合わせだから対策はしておこう、です。

buchikuma.com

2023.02.12

普段使っていないデバイスのログインを阻止する

簡単に言えば、普段使っていないデバイスからログインする場合には、自分の使っているデバイスで「認証」しないとログインはできないというものです。

iPhoneを失くすと致命的

デメリットとしては、やはり「他のデバイス」が手元にあるのが条件ということですね。実際、「普段と違う環境」からログインすることは少ないのですが、USBメモリを持ち歩く機会が減った分、いざ「資料がない」となったときに、職場のPCからログインするときなんかに困るかもしれません。

ぶちくま

だいたいの方が、iPhoneなどで認証することになると思いますが、iPhoneを常に身につけておき、かつ紛失させないということですね。スマホをうっかりなくすと、もう全部のパスワードがアウトになりますからね。

一応、アカウントリセットしたり、Appleに身分証明すれば解除されるので大丈夫だったはずですけどね。

パスワードをリセットできない場合に Apple ID のアカウントを復旧する

新しいデバイスにはじめてサインインするときは、2 種類の情報 — すなわち、パスワードと、信頼済みのデバイスに自動的に表示されるか、信頼済みの電話番号に送信される 6 桁の確認コード — が必要になります。このコードを入力することが、新しいデバイスを本人が信頼したことの確認となります。

https://support.apple.com/ja-jp/HT204915

２ファクタ認証の設定方法

公式HPで説明があるので、こちらでは簡単に。

1. 「設定」>「[ユーザ名]」>「パスワードとセキュリティ」の順に選択します。 
2. 「 2 ファクタ認証を有効にする」をタップします。
3. 「続ける」をタップします。

２ファクタ認証のメリット

面倒くささがある一方で、個人認証のための個別の質問とその答え、みたいな覚えなきゃいけないことがどんどん増える、ということがないので、安全性が保たれつつ、認証はシンプルになっているとも考えられます。

使用している暗号のセキュリティの高さ

ちなみに、iCloudの保護に使われている暗号化の方法ですが、以下のような説明がされています。

128ビットのAES暗号化

とりあえず、iCloudに保存される情報は、転送中もサーバー内でも、基本的に128ビットのAES暗号化されています、よかったですね。

よめくま

それってすごいの？

ということで、すごいかどうかだけ説明します。

最初に、AESについて簡単に説明すると、米国標準暗号のことで、Advanced Encryption Standardの略称です。2001年に規格されました。

通信の暗号の必要性について

さて、そもそもなぜ、データが暗号化されるのかと言えば、簡単に盗まれるからです。

盗む方を全員退治することはできないので、データを送るときにデータを暗号化して、受け取るときに暗号を解くことで、データ通信はセキュリティを保っています。この時、データの送信者と受信者は共通の鍵を持っている必要があります。

ぶちくま

この辺りは丁寧に説明すると面倒なので、この暗号化に使用する鍵のセキュリティ強度（長さ）が128ビットという数字だということだけ覚えておいてください。

鍵長128ビットのAESは、現在のところは攻略されていない暗号化です。つまり、現在のところは安全です。

TLS1.2

iCloud.comのセッションと、デバイスとメールのトラフィックは全てTLS1.2で暗号化されているらしいのですが、この、TLS1.2がよくわかりませんね。

Transport Layer Security（トランスポート・レイヤー・セキュリティ、TLS）は、インターネットなどのコンピュータネットワークにおいてセキュリティを要求される通信を行うためのプロトコルである。主な機能として、通信相手の認証、通信内容の暗号化、改竄の検出を提供する。

https://ja.wikipedia.org/wiki/Transport_Layer_Security

ぶちくま

まぁ、この説明を読んだだけで「なるほどな」となる方は、既にある程度の知識を持っているのでこのページからこれ以上学ぶことはないと思います。

くわしいひと

SSLの方が馴染みのある方も多いと思いますが、ウェブページなどの安全性を示す時にSSL証明書なんてものがあって、ブラウザに「鍵アイコン」がついたりしますね。

私のサイトも、SSLに対応するために四苦八苦したことを覚えています。

ぶちくま

一般ユーザーレベルだと、クレジットカードや銀行ウェブサービスを利用する際に、ブラウザがTLS1.2に対応していない場合はアクセスできなかったりしますね。

TLS Ver.1.2でも十分ではある

どこから説明してどこに着地させるのか悩ましいのですが、最新のTLSは2018年8月にリリースされたVer.1.3ですが、ほとんどのサイトは1.2です。

エンドツーエンド暗号化（end-to-end encryption, E2EE）とは、通信ネットワークにおいて通信を行う送信者と受信者のみが暗号化されたデータを復号、閲覧できる仕組みの、秘匿性の高い暗号化技術のこと。

https://makitani.net/shimauma/end-to-end-encryption

さて、このエンドツーエンド暗号化というのは、データ送信者と受信者しか鍵でやり取りするので、外部の悪い人はもちろん、データを保存するAppleですらデータを読み取ることができないというものです。

よめくま

そんな鍵、もらったことないけど？

私も使った覚えはありませんが、つまり、ユーザーがログインしているアカウントで、データを送信するときに自動で暗号キーを作り、データ閲覧時にもそのアカウントで見ようとすることで、暗号が解読されるというシステム、だと思います。

暗号化されるデータの一例

• Apple Card の取引
• ホームのデータ
• ヘルスケアデータ 
• iCloud キーチェーン 
• マップのよく使う項目、コレクション、検索履歴
• ミー文字
• お支払い情報
• QuickType キーボードで学習した語彙 
• Safari の履歴と iCloud タブ
• スクリーンタイム
• Siri の情報
• Wi-Fi のパスワード
• W1 および H1 Bluetooth キー

iCloudが危ないと聞いたけど真相はどうなの？

ちなみに、こんな感じにいかにも鉄壁な感じがするiCloudですが、過去には様々な問題があったことがあります。

2014年の情報漏洩〜アカウント乗っ取り問題

記憶にある方もいらっしゃるかもしれませんが、アメリカの人気女優・モデルのプライベート画像が漏洩し、その原因が「iCloudアカウントの乗っ取り」にあった、ということがありました。

しろくまさん

ただ、原因に関しては明らかにされておらず、アカウント管理に問題があったのか、Appleがハッキングされたのか、などは不明です。

複数の有名人が被害にあったことから、Appleのセキュリティの高さに関する神話が崩れるという自体になりかねませんでしたが、何やかんやその後は大きなセキュリティ問題は起きていないようです。

ぶちくま

細かい部分を見れば、セキュリティの脆弱性が指摘されていることはあるけど、OSなどのバージョンアップなどで対応しているようですね。

「iPhoneを探す」が危ない？

セキュリティ関連の情報をかき集めていると、「iPhoneを探す」の機能をハッカーが悪用しているという情報がありました。

ぶちくま

ネットのソースで、しかも翻訳がでたらめな「バックアップソフト」の会社のページだったので、自社製品を売るための情報だと思いましたけども。

仮にiPhoneを探すが危なくても、セキュリティ上、iPhoneを探すをオフにするのも危ないと思いました。

しろくまさん

というのも、Apple Care +で紛失などの補償を受ける際に、「iPhoneを探す」がオンになっていることが条件になっています。

私の意見ですが、iPhoneに関わるOSのセキュリティの問題はAppleに任せるほかなく、我々は自分の身の回りにあるリスクに対して、必要な対策をとっていくことしかできません。

ぶちくま

iPhoneを探すは、iPhoneの盗難があった場合に、iPhoneを捜す以外にもロックするために必要だったりします。

しろくまさん

あえてiPhoneを探すをオフにするのは、中古で売る時くらいですね

iCloudがランサムウェアに利用される

この話はErickaというiMacユーザーが実際に体験した話で、ある日ThomasさんはErickaさんから「Macがランサムウェアに感染したみたい」というメッセージを受け取ったそうです。Thomasさんは始め「Webベースの詐欺かな？」と思ったそうですが、Erickaさんから「iMacから6桁のコードを求められ、ロシアのハッカーがコードと引き換えに金銭を要求している」という話を聞くうちに事の重大さに気づいたそうです。

https://applech2.com/archives/20160317-icloud-scame-worse-than-ransomware.html

少し古い記事なのですが、ここをお読みの方なら、「アッ、２ファクタ認証が利用されている！」ということにお気づきかと思います。

これ自体はセキュリティの話ではないのですが、iPhoneなどのメインデバイスが乗っ取られたり、iCloudアカウントが不正に利用されたりすると、場合によっては先手を打たれて「他のデバイスをロックされる」可能性が出てきます。

なくしたと思ったら早めに対応する

このようなランサムウェアも重なっている場合、事態が混乱しますが、基本的には対応は同じです。

• 手持ちのデバイスを「デバイスを探す」で検索する。（iCloud.com/findでもできる）
• 自分のデバイスが想定外の場所にないか確認する。
• 紛失の場合は、デバイスに「紛失マーク」をつけると、電話番号やメッセージを表示できる。リモートからのロックも可能。
• デバイスが確認できない、あるいは盗難の場合は、デバイスのデータを消去する。
• 信頼できるデバイスリストから、該当デバイスを削除する。
• 「デバイスを探す」で見つからない場合は、iCloudのアカウントパスワードを変更して、該当デバイス所持者にログインさせないようにする

AppleCare＋で盗難保証もつけている場合は、紛失でも一定額の負担金で新しいiPhoneが利用できるはずです。