コメント欄で「自動情報収集」の実験中です。

iCloudに情報握られても、本当に安心なのか。セキュリティを捜査

スポンサーリンク

私はApple製品の「純正アプリ」をひたすら推薦しているのですが、そのデータを束ねる機能である「iCloud」って本当に安全なのか調べてみます。

スポンサーリンク

2023年の「iCloudのセキュリティ」新着情報まとめ

iCloudのセキュリティについて調べているついでに見つけた「新製品情報」や「発売が噂されるもの」などの情報をざっくりまとめて置いておきます。

iCloudのセキュリティに関する新着ニュース

iCloudのセキュリティに関する新着ニュースをまとめています。

iPhone脆弱性「BLASTPASS」:緊急のセキュリティアップデートがリリース

2023年9月9日の、iPhoneのセキュリティ脆弱性「BLASTPASS」に関する情報をお届けします。

  • トロント大学のセキュリティ研究室”The Citizen Lab”が、iPhoneに悪意のあるファイルを受信するだけで任意のコードが実行される脆弱性「BLASTPASS」を発見
  • この脆弱性はNSO Groupによって開発され、要人やジャーナリストを監視するためのスパイウェア「Pegasus」の配布に悪用されている
  • Appleはこの脆弱性を修正するためのソフトウェアアップデートiOS 16.6.1をリリース
脆弱性の詳細と対策

この脆弱性は、特定のiPhoneとiPadのモデルに影響を与え、ユーザーが悪意のある画像や添付ファイルを処理すると任意のコードが実行される可能性があります。具体的には、以下の2つの脆弱性が報告されています:

  1. CVE-2023-41064
    • 影響を受けるモデル: iPhone 8以降、iPad Pro全モデル、第3世代iPad Air以降、第5世代iPad以降、第5世代iPad mini以降
    • 内容: 悪意のある画像の処理により任意のコードが実行される可能性
    • 対策: iOS 16.6.1にアップデート
  2. CVE-2023-41061
    • 影響を受けるモデル: iPhone 8以降、iPad Pro全モデル、第3世代iPad Air以降、第5世代iPad以降、第5世代iPad mini以降
    • 内容: 悪意のある添付ファイルにより任意のコードが実行される可能性
    • 対策: iOS 16.6.1にアップデート

The Citizen Labは、ユーザーがiOSのソフトウェアアップデートを実施できない場合、iPhoneのロックダウンモードを有効にすることを推奨しています。これにより、攻撃をブロックすることが可能となります。アップデート方法は、設定アプリを開き、「一般」→「ソフトウェアアップデート」→「ダウンロードしてインストール」と進め、パスコードを入力することで完了します。

AppleのiCloud全面暗号化実施に賛否両論

2023年9月9日の、AppleのiCloudの全面暗号化政策に関する情報をお届けします。

  • Appleは2022年12月7日に、iMessageのセキュリティ強化、Apple IDへの物理セキュリティキー追加、及びiCloudの暗号化対象拡大を含む3つの新しいセキュリティ機能を発表
  • 電子フロンティア財団は、この新機能の発表を強く歓迎し、2019年からの要求が実現したと評価
  • 一方で、元FBIセクションチーフのサーシャ・オコネル氏は、この新ポリシーによるトレードオフに懸念を示している
電子フロンティア財団の立場と反応
  • 電子フロンティア財団は、この動きを”VICTORY!”と評価しており、特にiCloudのバックアップがユーザーによって暗号化可能になることを歓迎しています
  • 財団は以前からIT企業にセキュリティ強化を求めるキャンペーンを展開していた
  • 財団はまた、AppleがiCloudフォトの児童への性的虐待記録物のチェックシステムの導入を破棄したことも歓迎しています
警察当局とFBIの懸念
  • サーシャ・オコネル氏は企業がセキュリティを優先することは良いが、それによりできなくなることも多いと指摘
  • FBIは、Appleの新しい暗号化ポリシーに対し「合法的なアクセスが可能な設計」を求めていると報じられています
  • Appleのクレイグ・フェデリギ氏は、FBIが暗号化を制限してきたという報道を否定しています

1

iCloudのセキュリティの新機能情報

カテゴリ名の新機能情報についてまとめています。

Appleが「iOS 16.3」と「iPadOS 16.3」をリリース

2023年1月24日の、Appleの新しいアップデート「iOS 16.3」と「iPadOS 16.3」に関する情報をお届けします。

  • Appleは1月23日に「iOS 16.3」と「iPadOS 16.3」を公開し、新しい壁紙、iCloudの高度なデータ保護、およびApple ID用のセキュリティキーなどの新機能を導入
  • アップデートは無料で提供され、設定アプリの「一般」-「ソフトウェア・アップデート」セクションからダウンロード・適用できる
  • 緊急SOS機能の改善や複数のバグ修正が含まれ、特にセキュリティ関連の修正が13件行われた
新機能と改善点詳細
  • 新しいユニティの壁紙: 黒人歴史月間を記念して、黒人の歴史と文化を称える新しい壁紙が導入されました
  • iCloudの高度なデータ保護: 米国内でiCloudデータのエンドツーエンド暗号化が拡張され、バックアップ、メモ、写真など合計23カテゴリが含まれるようになりました
  • Apple IDのセキュリティキー導入: 新しいデバイスでの2ファクタ認証時に物理的セキュリティキーが必要となり、アカウントセキュリティが強化されました
  • バグ修正: 以下の問題が修正されました
    • スキー場での緊急SOS機能の誤発信防止
    • 描画した筆線が共有ボードに表示されない問題
    • ロック画面の壁紙が真っ黒になる問題
    • iPhone 14 Pro Maxでスリープ解除中に横線が表示される問題
    • “ホーム”のロック画面ウィジェットにホームAppの状況が正確に表示されない問題
    • Siriがミュージックのリクエストに正しく応答しない問題
    • CarPlayのSiriへのリクエストが正しく認識されない問題
セキュリティ関連の修正
  • このアップデートには13のセキュリティ修正が含まれ、これには情報漏洩やサービス運用妨害(DoS)、アプリによるカーネル権限での任意コード実行、プライバシー設定のバイパスなどにつながる可能性がある問題が含まれます。なるべく早くアップデートを行うことが推奨されます。

スポンサーリンク

iCloudが安全な理由

iCloudが安全ではない場合、Appleデバイスに関わるかなり多くのデータが流出してしまいますが、同時にクラウドシステムの中でも利用者が多いためハッカーには狙われやすいという性質があります。

ぶちくま
ぶちくま

過去にはアカウントが乗っ取られたりしたこともあるようですが、以降、目立った話は聞きません。実際のところ、どうなのでしょうか?

公式の説明

まずは、公式がどのように安全か、熱弁してもらいます(引用)

iCloud では、お客様の情報を暗号化して転送し、iCloud にも暗号化したフォーマットで保管し、認証には安全なトークンを使って守ります。また、所定の機密情報に関しては、エンドツーエンドの暗号化を採用します。この場合、情報の持ち主本人だけが、iCloud にサインインしているデバイスからのみ、情報にアクセスできます。ほかの誰も、たとえ Apple でも、エンドツーエンドで暗号化された情報にはアクセスできません。

https://support.apple.com/ja-jp/HT202303

ということです。

ぶちくま
ぶちくま

なんか凄そうだけど、「よし、安全だね」という気持ちにはなれないんだけど。

では、Apple公式の説明を読み解くための、簡単な用語説明からしていきます。

スポンサーリンク

AppleのiCloudを支えるセキュリティシステム

公式HPを読んでいてもよくわからないのが、「セキュリティの凄さって、専門用語ばっかりで伝わってこない」と言うところがあると思うのです。何にせよ、わからないことがあれば調べるのです。

2ファクタ認証

いわゆる、2段階認証のことです。

2段階(ファクタ)認証はこんな感じで突然現れる
6桁の数字が突如、現れます

家計簿アプリのセキュリティでも学びましたが、基本的に今の時代、2ファクタ認証は必須です。もし、まだ他のデバイスでの認証を必要としない大事なパスワードがあれば、いますぐに対応しましょう。

家計簿アプリが安心な理由と、危険な不正Appの違いを見極める
家計簿アプリのセキュリティを心配する声が届きましたので、今回だけ特別に疑問にお答えする形で記事を書きました。結論、リスクはあれど利用するメリットの方が大きい、がやっぱり危険と隣り合わせだから対策はしておこう、です。

普段使っていないデバイスのログインを阻止する

簡単に言えば、普段使っていないデバイスからログインする場合には、自分の使っているデバイスで「認証」しないとログインはできないというものです。

iPhoneを失くすと致命的

デメリットとしては、やはり「他のデバイス」が手元にあるのが条件ということですね。実際、「普段と違う環境」からログインすることは少ないのですが、USBメモリを持ち歩く機会が減った分、いざ「資料がない」となったときに、職場のPCからログインするときなんかに困るかもしれません。

ぶちくま
ぶちくま

だいたいの方が、iPhoneなどで認証することになると思いますが、iPhoneを常に身につけておき、かつ紛失させないということですね。スマホをうっかりなくすと、もう全部のパスワードがアウトになりますからね。

一応、アカウントリセットしたり、Appleに身分証明すれば解除されるので大丈夫だったはずですけどね。

パスワードをリセットできない場合に Apple ID のアカウントを復旧する

新しいデバイスにはじめてサインインするときは、2 種類の情報 — すなわち、パスワードと、信頼済みのデバイスに自動的に表示されるか、信頼済みの電話番号に送信される 6 桁の確認コード — が必要になります。このコードを入力することが、新しいデバイスを本人が信頼したことの確認となります。

https://support.apple.com/ja-jp/HT204915

2ファクタ認証の設定方法

公式HPで説明があるので、こちらでは簡単に。

iCloudのセキュリティは2ファクタ認証を設定したほうがいい
Apple公式HPより引用
  1. 「設定」>「[ユーザ名]」>「パスワードとセキュリティ」の順に選択します。 
  2. 「 2 ファクタ認証を有効にする」をタップします。
  3. 「続ける」をタップします。

2ファクタ認証のメリット

面倒くささがある一方で、個人認証のための個別の質問とその答え、みたいな覚えなきゃいけないことがどんどん増える、ということがないので、安全性が保たれつつ、認証はシンプルになっているとも考えられます。

使用している暗号のセキュリティの高さ

ちなみに、iCloudの保護に使われている暗号化の方法ですが、以下のような説明がされています。

128ビットのAES暗号化

とりあえず、iCloudに保存される情報は、転送中もサーバー内でも、基本的に128ビットのAES暗号化されています、よかったですね。

よめくま
よめくま

それってすごいの?

ということで、すごいかどうかだけ説明します。

最初に、AESについて簡単に説明すると、米国標準暗号のことで、Advanced Encryption Standardの略称です。2001年に規格されました。

通信の暗号の必要性について

さて、そもそもなぜ、データが暗号化されるのかと言えば、簡単に盗まれるからです。

盗む方を全員退治することはできないので、データを送るときにデータを暗号化して、受け取るときに暗号を解くことで、データ通信はセキュリティを保っています。この時、データの送信者と受信者は共通の鍵を持っている必要があります。

ぶちくま
ぶちくま

この辺りは丁寧に説明すると面倒なので、この暗号化に使用する鍵のセキュリティ強度(長さ)が128ビットという数字だということだけ覚えておいてください。

鍵長128ビットのAESは、現在のところは攻略されていない暗号化です。つまり、現在のところは安全です。

TLS1.2

iCloud.comのセッションと、デバイスとメールのトラフィックは全てTLS1.2で暗号化されているらしいのですが、この、TLS1.2がよくわかりませんね。

Transport Layer Security(トランスポート・レイヤー・セキュリティ、TLS)は、インターネットなどのコンピュータネットワークにおいてセキュリティを要求される通信を行うためのプロトコルである。主な機能として、通信相手の認証、通信内容の暗号化、改竄の検出を提供する。

https://ja.wikipedia.org/wiki/Transport_Layer_Security
ぶちくま
ぶちくま

まぁ、この説明を読んだだけで「なるほどな」となる方は、既にある程度の知識を持っているのでこのページからこれ以上学ぶことはないと思います。

くわしいひと
くわしいひと

SSLの方が馴染みのある方も多いと思いますが、ウェブページなどの安全性を示す時にSSL証明書なんてものがあって、ブラウザに「鍵アイコン」がついたりしますね。

私のサイトも、SSLに対応するために四苦八苦したことを覚えています。

ぶちくま
ぶちくま

一般ユーザーレベルだと、クレジットカードや銀行ウェブサービスを利用する際に、ブラウザがTLS1.2に対応していない場合はアクセスできなかったりしますね。

TLS Ver.1.2でも十分ではある

どこから説明してどこに着地させるのか悩ましいのですが、最新のTLSは2018年8月にリリースされたVer.1.3ですが、ほとんどのサイトは1.2です。

エンドツーエンド暗号化

エンドツーエンド暗号化(end-to-end encryption, E2EE)とは、通信ネットワークにおいて通信を行う送信者と受信者のみが暗号化されたデータを復号、閲覧できる仕組みの、秘匿性の高い暗号化技術のこと。

https://makitani.net/shimauma/end-to-end-encryption

さて、このエンドツーエンド暗号化というのは、データ送信者と受信者しか鍵でやり取りするので、外部の悪い人はもちろん、データを保存するAppleですらデータを読み取ることができないというものです。

よめくま
よめくま

そんな鍵、もらったことないけど?

私も使った覚えはありませんが、つまり、ユーザーがログインしているアカウントで、データを送信するときに自動で暗号キーを作り、データ閲覧時にもそのアカウントで見ようとすることで、暗号が解読されるというシステム、だと思います。

暗号化されるデータの一例

  • Apple Card の取引
  • ホームのデータ
  • ヘルスケアデータ 
  • iCloud キーチェーン 
  • マップのよく使う項目、コレクション、検索履歴
  • ミー文字
  • お支払い情報
  • QuickType キーボードで学習した語彙 
  • Safari の履歴と iCloud タブ
  • スクリーンタイム
  • Siri の情報
  • Wi-Fi のパスワード
  • W1 および H1 Bluetooth キー
スポンサーリンク

iCloudが危ないと聞いたけど真相はどうなの?

ちなみに、こんな感じにいかにも鉄壁な感じがするiCloudですが、過去には様々な問題があったことがあります。

2014年の情報漏洩〜アカウント乗っ取り問題

記憶にある方もいらっしゃるかもしれませんが、アメリカの人気女優・モデルのプライベート画像が漏洩し、その原因が「iCloudアカウントの乗っ取り」にあった、ということがありました。

しろくまさん
しろくまさん

ただ、原因に関しては明らかにされておらず、アカウント管理に問題があったのか、Appleがハッキングされたのか、などは不明です。

複数の有名人が被害にあったことから、Appleのセキュリティの高さに関する神話が崩れるという自体になりかねませんでしたが、何やかんやその後は大きなセキュリティ問題は起きていないようです。

ぶちくま
ぶちくま

細かい部分を見れば、セキュリティの脆弱性が指摘されていることはあるけど、OSなどのバージョンアップなどで対応しているようですね。

「iPhoneを探す」が危ない?

セキュリティ関連の情報をかき集めていると、「iPhoneを探す」の機能をハッカーが悪用しているという情報がありました。

ぶちくま
ぶちくま

ネットのソースで、しかも翻訳がでたらめな「バックアップソフト」の会社のページだったので、自社製品を売るための情報だと思いましたけども。

仮にiPhoneを探すが危なくても、セキュリティ上、iPhoneを探すをオフにするのも危ないと思いました。

しろくまさん
しろくまさん

というのも、Apple Care +で紛失などの補償を受ける際に、「iPhoneを探す」がオンになっていることが条件になっています。

私の意見ですが、iPhoneに関わるOSのセキュリティの問題はAppleに任せるほかなく、我々は自分の身の回りにあるリスクに対して、必要な対策をとっていくことしかできません。

ぶちくま
ぶちくま

iPhoneを探すは、iPhoneの盗難があった場合に、iPhoneを捜す以外にもロックするために必要だったりします。

しろくまさん
しろくまさん

あえてiPhoneを探すをオフにするのは、中古で売る時くらいですね

iCloudがランサムウェアに利用される

この話はErickaというiMacユーザーが実際に体験した話で、ある日ThomasさんはErickaさんから「Macがランサムウェアに感染したみたい」というメッセージを受け取ったそうです。Thomasさんは始め「Webベースの詐欺かな?」と思ったそうですが、Erickaさんから「iMacから6桁のコードを求められ、ロシアのハッカーがコードと引き換えに金銭を要求している」という話を聞くうちに事の重大さに気づいたそうです。

https://applech2.com/archives/20160317-icloud-scame-worse-than-ransomware.html

少し古い記事なのですが、ここをお読みの方なら、「アッ、2ファクタ認証が利用されている!」ということにお気づきかと思います。

これ自体はセキュリティの話ではないのですが、iPhoneなどのメインデバイスが乗っ取られたり、iCloudアカウントが不正に利用されたりすると、場合によっては先手を打たれて「他のデバイスをロックされる」可能性が出てきます。

なくしたと思ったら早めに対応する

このようなランサムウェアも重なっている場合、事態が混乱しますが、基本的には対応は同じです。

  • 手持ちのデバイスを「デバイスを探す」で検索する。(iCloud.com/findでもできる)
  • 自分のデバイスが想定外の場所にないか確認する。
  • 紛失の場合は、デバイスに「紛失マーク」をつけると、電話番号やメッセージを表示できる。リモートからのロックも可能。
  • デバイスが確認できない、あるいは盗難の場合は、デバイスのデータを消去する。
  • 信頼できるデバイスリストから、該当デバイスを削除する。
  • 「デバイスを探す」で見つからない場合は、iCloudのアカウントパスワードを変更して、該当デバイス所持者にログインさせないようにする

AppleCare+で盗難保証もつけている場合は、紛失でも一定額の負担金で新しいiPhoneが利用できるはずです。

Appleサービス
スマホやPCの故障が心配なら

スマホに保険なんていらないっていう方も「意外に安いかも」という、キャリア(携帯会社)ではないスマホ保険について考えてみませんか?

故障が心配ならモバイル保険が便利

ここからは、私がお勧めするこれからの時代のスマホの保険に関する話題です。

しろくまさん
しろくまさん

今後は「ずっと同じ携帯会社」を利用するメリットはどんどん減るし、いつでも乗り換えられるようにスマホの補償サービスも「携帯会社ではないところ」にしておくほうがいいな、と。

ぶちくま
ぶちくま

色々と調べて、「スマホ保険は不要か」「保険はどこがお得か」などを記事にしましたが、長々とした解説は抜きにして、とりあえずお勧めをお伝えすると「モバイル保険」が一番でした。

「モバイル保険」の詳しい情報をみる

修理保証は実は無駄が多い

AppleCare+に代表される「端末故障に対する有料保証サービス」、あれよりもお得なのが「モバイル保険」です。

そもそも、端末修理保証というのは、言ってみれば故障に対する「保険」で、初期不良などは有料サービスに加入しなくても対応してもらえます。

しろくまさん
しろくまさん

iPhoneの場合は、AppleCare+に入らなくても1年間は保証期間があるから、ほとんどの場合は、大丈夫なんだけどね。

高額の修理費用はかなりの負担

とは言え、スマホに関しては常に故障のリスクが付きまといます。私はうっかりスマホを洗濯してしまったことが何度かあります。

例え有料保証に加入していても、過失による修理は一回で3万円くらいかかります。保証が使えなければ、端末料金くらいの修理代がかかってしまうこともあります。

毎月少しのお金でスマホに保険をかけよう

というわけで、シンプルにスマホにはスマホにふさわしい保険をかけることにしました。

モバイル保険」は月々700円で、年間最大10万円の保険金を受け取ることができます。

ぶちくま
ぶちくま

なんだ、高いじゃないか!

そう感じられたと思いますが、実は、WiFiにつながる端末であれば、1契約で3台まで登録することができます!

よめくま
よめくま

つまり、実質1台あたり233円!

ぶちくま
ぶちくま

契約者の家族端末でも保険にかけられるので、共有のタブレットやカメラ、ニンテンドーSwitchなんかを登録してもいいですね!

 


「モバイル保険」の詳しい情報をみる

シェアする
ぶちくまをフォローする
スポンサーリンク
ぶちくまどっとこむ

コメント

  1. buchikuma-info より:

    「car car privacy new」に関する最新情報です。

    タイトル: セキュリティニュース今週: 新しい車はプライバシーの悪夢
    見出し: セキュリティニュース今週: 新しい車はプライバシーの悪夢, WIREDからもっと情報を得る
    トピック1:
    トピックのキーワード: 車 車のプライバシー 新しい 新しい車 ニュース ニュース 週間 悪夢 プライバシー プライバシーの悪夢 セキュリティ
    トップの段落:
    エンティティ: 2023年9月9日午前9時 プライバシーの悪夢 プラス アップルがNSOグループの新たに発見された欠陥を修正 ロシアの国家機関に対する米国の制裁 米国司法省 米国の裁判所 ガロチキンと8人のロシア人の同じ名前の可能性がある カリム・カーンはロシアを名指ししなかった サンドワームはウクライナに対するサイバー攻撃の唯一の既知の例であり、電力供給を停止させるために使用された 10 中国を支援するグループは、中国の法律によって、2022年に制定された多くの西側企業を対象にしてきました。中国のハッカーたちは、中国の法律に従って、ネットワーク技術企業が2日以内に脆弱性を発見した情報を提供することを要求しています。脆弱性の

    https://www.wired.com/story/your-new-car-privacy-nightmare/

  2. buchikuma-info より:

    「end encryption end encryption」に関する最新情報です。

    Metaは、年末までにMessengerのデフォルトのエンドツーエンドの暗号化を導入する計画です。Metaは、数百万人の人々がチャットを拡大すると同時に、個々の通信を保護することが重要になっています。Metaは、他の企業や個人がユーザーのチャットメッセージにアクセスできないようにするために、エンドツーエンドの暗号化を可能にすることを計画しています。これにより、プライバシーとセキュリティが向上すると期待されています。

    https://techcrunch.com/2023/08/22/meta-plans-to-roll-out-default-end-to-end-encryption-for-messenger-by-the-end-of-the-year/

タイトルとURLをコピーしました