iCloudに情報握られても、本当に安心なのか。セキュリティを捜査

スポンサーリンク

私はApple製品の「純正アプリ」をひたすら推薦しているのですが、そのデータを束ねる機能である「iCloud」って本当に安全なのか調べてみます。

スポンサーリンク

iCloudが安全な理由

iCloudが安全ではない場合、Appleデバイスに関わるかなり多くのデータが流出してしまいますが、同時にクラウドシステムの中でも利用者が多いためハッカーには狙われやすいという性質があります。

ぶちくま
ぶちくま

過去にはアカウントが乗っ取られたりしたこともあるようですが、以降、目立った話は聞きません。実際のところ、どうなのでしょうか?

公式の説明

まずは、公式がどのように安全か、熱弁してもらいます(引用)

iCloud では、お客様の情報を暗号化して転送し、iCloud にも暗号化したフォーマットで保管し、認証には安全なトークンを使って守ります。また、所定の機密情報に関しては、エンドツーエンドの暗号化を採用します。この場合、情報の持ち主本人だけが、iCloud にサインインしているデバイスからのみ、情報にアクセスできます。ほかの誰も、たとえ Apple でも、エンドツーエンドで暗号化された情報にはアクセスできません。

https://support.apple.com/ja-jp/HT202303

ということです。

ぶちくま
ぶちくま

なんか凄そうだけど、「よし、安全だね」という気持ちにはなれないんだけど。

では、Apple公式の説明を読み解くための、簡単な用語説明からしていきます。

スポンサーリンク

AppleのiCloudを支えるセキュリティシステム

公式HPを読んでいてもよくわからないのが、「セキュリティの凄さって、専門用語ばっかりで伝わってこない」と言うところがあると思うのです。何にせよ、わからないことがあれば調べるのです。

2ファクタ認証

いわゆる、2段階認証のことです。

2段階(ファクタ)認証はこんな感じで突然現れる
6桁の数字が突如、現れます

家計簿アプリのセキュリティでも学びましたが、基本的に今の時代、2ファクタ認証は必須です。もし、まだ他のデバイスでの認証を必要としない大事なパスワードがあれば、いますぐに対応しましょう。

家計簿アプリが安心な理由と、危険な不正Appの違いを見極める
家計簿アプリのセキュリティを心配する声が届きましたので、今回だけ特別に疑問にお答えする形で記事を書きました。結論、リスクはあれど利用するメリットの方が大きい、がやっぱり危険と隣り合わせだから対策はしておこう、です。

普段使っていないデバイスのログインを阻止する

簡単に言えば、普段使っていないデバイスからログインする場合には、自分の使っているデバイスで「認証」しないとログインはできないというものです。

iPhoneを失くすと致命的

デメリットとしては、やはり「他のデバイス」が手元にあるのが条件ということですね。実際、「普段と違う環境」からログインすることは少ないのですが、USBメモリを持ち歩く機会が減った分、いざ「資料がない」となったときに、職場のPCからログインするときなんかに困るかもしれません。

ぶちくま
ぶちくま

だいたいの方が、iPhoneなどで認証することになると思いますが、iPhoneを常に身につけておき、かつ紛失させないということですね。スマホをうっかりなくすと、もう全部のパスワードがアウトになりますからね。

一応、アカウントリセットしたり、Appleに身分証明すれば解除されるので大丈夫だったはずですけどね。

パスワードをリセットできない場合に Apple ID のアカウントを復旧する

新しいデバイスにはじめてサインインするときは、2 種類の情報 — すなわち、パスワードと、信頼済みのデバイスに自動的に表示されるか、信頼済みの電話番号に送信される 6 桁の確認コード — が必要になります。このコードを入力することが、新しいデバイスを本人が信頼したことの確認となります。

https://support.apple.com/ja-jp/HT204915

2ファクタ認証の設定方法

公式HPで説明があるので、こちらでは簡単に。

iCloudのセキュリティは2ファクタ認証を設定したほうがいい
Apple公式HPより引用
  1. 「設定」>「[ユーザ名]」>「パスワードとセキュリティ」の順に選択します。 
  2. 「 2 ファクタ認証を有効にする」をタップします。
  3. 「続ける」をタップします。

2ファクタ認証のメリット

面倒くささがある一方で、個人認証のための個別の質問とその答え、みたいな覚えなきゃいけないことがどんどん増える、ということがないので、安全性が保たれつつ、認証はシンプルになっているとも考えられます。

使用している暗号のセキュリティの高さ

ちなみに、iCloudの保護に使われている暗号化の方法ですが、以下のような説明がされています。

128ビットのAES暗号化

とりあえず、iCloudに保存される情報は、転送中もサーバー内でも、基本的に128ビットのAES暗号化されています、よかったですね。

よめくま
よめくま

それってすごいの?

ということで、すごいかどうかだけ説明します。

最初に、AESについて簡単に説明すると、米国標準暗号のことで、Advanced Encryption Standardの略称です。2001年に規格されました。

通信の暗号の必要性について

さて、そもそもなぜ、データが暗号化されるのかと言えば、簡単に盗まれるからです。

盗む方を全員退治することはできないので、データを送るときにデータを暗号化して、受け取るときに暗号を解くことで、データ通信はセキュリティを保っています。この時、データの送信者と受信者は共通の鍵を持っている必要があります。

ぶちくま
ぶちくま

この辺りは丁寧に説明すると面倒なので、この暗号化に使用する鍵のセキュリティ強度(長さ)が128ビットという数字だということだけ覚えておいてください。

鍵長128ビットのAESは、現在のところは攻略されていない暗号化です。つまり、現在のところは安全です。

TLS1.2

iCloud.comのセッションと、デバイスとメールのトラフィックは全てTLS1.2で暗号化されているらしいのですが、この、TLS1.2がよくわかりませんね。

Transport Layer Security(トランスポート・レイヤー・セキュリティ、TLS)は、インターネットなどのコンピュータネットワークにおいてセキュリティを要求される通信を行うためのプロトコルである。主な機能として、通信相手の認証、通信内容の暗号化、改竄の検出を提供する。

https://ja.wikipedia.org/wiki/Transport_Layer_Security
ぶちくま
ぶちくま

まぁ、この説明を読んだだけで「なるほどな」となる方は、既にある程度の知識を持っているのでこのページからこれ以上学ぶことはないと思います。

くわしいひと
くわしいひと

SSLの方が馴染みのある方も多いと思いますが、ウェブページなどの安全性を示す時にSSL証明書なんてものがあって、ブラウザに「鍵アイコン」がついたりしますね。

私のサイトも、SSLに対応するために四苦八苦したことを覚えています。

ぶちくま
ぶちくま

一般ユーザーレベルだと、クレジットカードや銀行ウェブサービスを利用する際に、ブラウザがTLS1.2に対応していない場合はアクセスできなかったりしますね。

TLS Ver.1.2でも十分ではある

どこから説明してどこに着地させるのか悩ましいのですが、最新のTLSは2018年8月にリリースされたVer.1.3ですが、ほとんどのサイトは1.2です。

エンドツーエンド暗号化

エンドツーエンド暗号化(end-to-end encryption, E2EE)とは、通信ネットワークにおいて通信を行う送信者と受信者のみが暗号化されたデータを復号、閲覧できる仕組みの、秘匿性の高い暗号化技術のこと。

https://makitani.net/shimauma/end-to-end-encryption

さて、このエンドツーエンド暗号化というのは、データ送信者と受信者しか鍵でやり取りするので、外部の悪い人はもちろん、データを保存するAppleですらデータを読み取ることができないというものです。

よめくま
よめくま

そんな鍵、もらったことないけど?

私も使った覚えはありませんが、つまり、ユーザーがログインしているアカウントで、データを送信するときに自動で暗号キーを作り、データ閲覧時にもそのアカウントで見ようとすることで、暗号が解読されるというシステム、だと思います。

暗号化されるデータの一例

  • Apple Card の取引
  • ホームのデータ
  • ヘルスケアデータ 
  • iCloud キーチェーン 
  • マップのよく使う項目、コレクション、検索履歴
  • ミー文字
  • お支払い情報
  • QuickType キーボードで学習した語彙 
  • Safari の履歴と iCloud タブ
  • スクリーンタイム
  • Siri の情報
  • Wi-Fi のパスワード
  • W1 および H1 Bluetooth キー
スポンサーリンク

iCloudが危ないと聞いたけど真相はどうなの?

ちなみに、こんな感じにいかにも鉄壁な感じがするiCloudですが、過去には様々な問題があったことがあります。

2014年の情報漏洩〜アカウント乗っ取り問題

記憶にある方もいらっしゃるかもしれませんが、アメリカの人気女優・モデルのプライベート画像が漏洩し、その原因が「iCloudアカウントの乗っ取り」にあった、ということがありました。

しろくまさん
しろくまさん

ただ、原因に関しては明らかにされておらず、アカウント管理に問題があったのか、Appleがハッキングされたのか、などは不明です。

複数の有名人が被害にあったことから、Appleのセキュリティの高さに関する神話が崩れるという自体になりかねませんでしたが、何やかんやその後は大きなセキュリティ問題は起きていないようです。

ぶちくま
ぶちくま

細かい部分を見れば、セキュリティの脆弱性が指摘されていることはあるけど、OSなどのバージョンアップなどで対応しているようですね。

「iPhoneを探す」が危ない?

セキュリティ関連の情報をかき集めていると、「iPhoneを探す」の機能をハッカーが悪用しているという情報がありました。

ぶちくま
ぶちくま

ネットのソースで、しかも翻訳がでたらめな「バックアップソフト」の会社のページだったので、自社製品を売るための情報だと思いましたけども。

仮にiPhoneを探すが危なくても、セキュリティ上、iPhoneを探すをオフにするのも危ないと思いました。

しろくまさん
しろくまさん

というのも、Apple Care +で紛失などの補償を受ける際に、「iPhoneを探す」がオンになっていることが条件になっています。

私の意見ですが、iPhoneに関わるOSのセキュリティの問題はAppleに任せるほかなく、我々は自分の身の回りにあるリスクに対して、必要な対策をとっていくことしかできません。

ぶちくま
ぶちくま

iPhoneを探すは、iPhoneの盗難があった場合に、iPhoneを捜す以外にもロックするために必要だったりします。

しろくまさん
しろくまさん

あえてiPhoneを探すをオフにするのは、中古で売る時くらいですね

iCloudがランサムウェアに利用される

この話はErickaというiMacユーザーが実際に体験した話で、ある日ThomasさんはErickaさんから「Macがランサムウェアに感染したみたい」というメッセージを受け取ったそうです。Thomasさんは始め「Webベースの詐欺かな?」と思ったそうですが、Erickaさんから「iMacから6桁のコードを求められ、ロシアのハッカーがコードと引き換えに金銭を要求している」という話を聞くうちに事の重大さに気づいたそうです。

https://applech2.com/archives/20160317-icloud-scame-worse-than-ransomware.html

少し古い記事なのですが、ここをお読みの方なら、「アッ、2ファクタ認証が利用されている!」ということにお気づきかと思います。

これ自体はセキュリティの話ではないのですが、iPhoneなどのメインデバイスが乗っ取られたり、iCloudアカウントが不正に利用されたりすると、場合によっては先手を打たれて「他のデバイスをロックされる」可能性が出てきます。

なくしたと思ったら早めに対応する

このようなランサムウェアも重なっている場合、事態が混乱しますが、基本的には対応は同じです。

  • 手持ちのデバイスを「デバイスを探す」で検索する。(iCloud.com/findでもできる)
  • 自分のデバイスが想定外の場所にないか確認する。
  • 紛失の場合は、デバイスに「紛失マーク」をつけると、電話番号やメッセージを表示できる。リモートからのロックも可能。
  • デバイスが確認できない、あるいは盗難の場合は、デバイスのデータを消去する。
  • 信頼できるデバイスリストから、該当デバイスを削除する。
  • 「デバイスを探す」で見つからない場合は、iCloudのアカウントパスワードを変更して、該当デバイス所持者にログインさせないようにする

AppleCare+で盗難保証もつけている場合は、紛失でも一定額の負担金で新しいiPhoneが利用できるはずです。

スマホやPCの故障が心配なら

故障が心配ならモバイル保険が便利


「モバイル保険」の詳しい情報をみる

修理保証は実は無駄が多い

AppleCare+に代表される「端末故障に対する有料保証サービス」、あれよりもお得なのが「モバイル保険」です。

そもそも、端末修理保証というのは、言ってみれば故障に対する「保険」で、初期不良などは有料サービスに加入しなくても対応してもらえます。

しろくまさん
しろくまさん

iPhoneの場合は、AppleCare+に入らなくても1年間は保証期間があるから、ほとんどの場合は、大丈夫なんだけどね。

高額の修理費用はかなりの負担

とは言え、スマホに関しては常に故障のリスクが付きまといます。私はうっかりスマホを洗濯してしまったことが何度かあります。

例え有料保証に加入していても、過失による修理は一回で3万円くらいかかります。保証が使えなければ、端末料金くらいの修理代がかかってしまうこともあります。

毎月少しのお金でスマホに保険をかけよう

というわけで、シンプルにスマホにはスマホにふさわしい保険をかけることにしました。

モバイル保険」は月々700円で、年間最大10万円の保険金を受け取ることができます。

ぶちくま
ぶちくま

なんだ、高いじゃないか!

そう感じられたと思いますが、実は、WiFiにつながる端末であれば、1契約で3台まで登録することができます!

よめくま
よめくま

つまり、実質1台あたり233円!

ぶちくま
ぶちくま

契約者の家族端末でも保険にかけられるので、共有のタブレットやカメラ、ニンテンドーSwitchなんかを登録してもいいですね!

モバイル保険や、類似サービスを比較した記事もありますので、こちらもご贔屓ひいきに。


「モバイル保険」の詳しい情報をみる

Appleサービス
ぶちくまをフォローする
スポンサーリンク
関連おすすめ記事



ぶちくまどっとこむ

コメント

タイトルとURLをコピーしました