2016年サイバーセキュリティ重大トピックス (2) プライバシーか、安全保障か? テロ事件証拠のiPhoneロック解除を巡る大論争

西方望

December 28, 2016 07:01
by 西方望

アメリカ大統領選挙でトランプ氏を勝たせた最も大きな要因は、持てる者と持たざる者の格差、つまり経済的な分断だろう(その結果が大富豪の大統領、ウォール街から多数の閣僚登用という状況は皮肉と言えば皮肉だが)。だがアメリカを蝕む分断はそれだけではない。もちろん経済的格差とも関連するし、トランプ氏もたびたび煽っているが、人種や宗教の分断はさらに根深い。このところ問題になっている警官による黒人への理不尽な暴力や射殺事件などは今年も相次ぎ、黒人大統領が誕生する世でもまだ白人と黒人には厳然として差があることがあらためて感じられた。宗教についても、特に9.11後はイスラム教への差別が強まり、それがかえってムスリム青年を過激思想へ押しやってしまうことになっている。2015年末に起きたカリフォルニア州サンバーナディーノでの銃乱射も、そのようなホームグロウンテロの一種だったのだろう。

iPhoneのロックが解除できないFBI

14人の死者(容疑者を含めると16人)と多数の負傷者を出したこの凄惨な事件についてはさまざまな側面で考えるべき点があるが、容疑者がFacebookを使っていたなどごく普通のこと以外、事件自体には「サイバー」なところはないので詳細は省く。だが、この事件の捜査過程で、セキュリティに携わる誰もが無関心ではいられない事態が起きた。容疑者が使用していたスマートフォン、iPhone 5cを巡ってFBIとAppleが激しく対立し、さらにはIT業界から政界、いや世間一般までをも巻き込む大論争に発展したのだ。

容疑者の使用していたiPhoneはロックされており、その解除にはPIN(数字)の入力が必要だった。事件の全容解明のために、是非にも通話やテキストの内容を見たいというのは当然だ。だがFBIにはそのPINコードはわからない。10回続けて誤ったPINを入力してしまうと暗号鍵が破棄され、中のデータにはアクセス不能になってしまうため、総当たりで試すということもできない。そこでFBIはiPhoneの製造元であるAppleに協力を要請したのだが、Apple自身でもロックを解除することは不可能。自分で番号を設定できるナンバー錠や金庫は、その錠前を作ったメーカーでも開けられないのと同じことだ。しかしAppleは要請に応えロック解除あるいはデータを参照できる可能性がある手段をいくつかFBIに提示したものの、そのいずれも(FBIの不手際もあって)失敗に終わったという。

Appleに裏口作成を依頼

だがこれでもう容疑者のiPhoneのロックを解除する手段がないのか、といえばそうではなかった。ファームウェアを書き換えて、10回続けてPIN入力に失敗したら鍵破棄という設定を無効にすることは可能だったのだ(現在のiPhone/iOSでは不可能とされる)。こうなれば総当たりで試せばよい。しかしロックされているスマートフォンのファームウェアの書き換えなどということが誰にでもできてしまうのであれば、セキュリティも何もないようなものだ。このためには、Appleが署名した特殊なファームウェアを用意する必要がある。つまりApple自身に「裏口OS」を作ってもらわなければならないのだ。FBIが次にAppleに要請したのはこの裏口の作成だが、Appleはこれを断固拒否する。それはそうだろう。容疑者のiPhoneの解除だけで済むことであればAppleも協力するにやぶさかではない、というか実際協力したわけだが、この裏口はすべてのiPhoneに使えてしまう。つまり、マスターキーをFBIに渡してしまうことになるのだ。FBIが誰かのiPhoneを覗きたいと思えば覗き放題、さらにもしこれが漏洩したりすればiPhoneのセキュリティにとっては壊滅的な打撃となる。FBIが今回の事件にしか使わない、絶対に漏洩はさせない、と保障したところで大して意味はないのはもちろんだ。

しかしもはやこれ以外にロック解除の手段がないFBIは今年の2月、裁判所命令を取ってAppleに協力させようとするが、Apple側はこれも拒否。ティム・クックCEOはサイト上で声明を発表、プライバシーを脅かす危険な先例を作ることはできない、と徹底抗戦の姿勢を示した。ここから大論争が巻き起こる。IT企業の多くはAppleを支持する立場だったが、議会や政府関係者からはAppleを非難する声が上がった。要するに、テロ事件の捜査という国家の安全保障に関わる状況で、協力する能力があるのに協力しないAppleはけしからん、ということだ。しかしAppleはいっさい妥協は見せず(と言ってもそもそも妥協点のない問題だが)、この争いは長期化するかと思われた。ところが急転直下、FBIはApple以外の民間企業の技術によってiPhoneのロック解除に成功したとして、訴えを取り下げたのだ。これもまたアメリカを分断したとも言っていい論争は、こうしてあっけなく消え去ってしまった。

1993年から続く議論

そして、プライバシーか国家の安全保障か、という問題は明確な決着が出ないまま今も宙ぶらりんの状態となっている。筆者含め、セキュリティ関係者の多くはAppleの立場の方が妥当だと考えていると思う。だがアメリカ国民に対する世論調査では、FBIを支持する意見の方が多かったのだ。おそらくそのかなりの部分は問題の本質を理解しておらず、残虐なテロ事件の捜査に協力しないAppleが悪い、と単純に考えたのではないかと思うが、理解していたとしても、AppleがいわばiPhoneのマスターキーをFBIに渡したところで、自分に何かの害が及ぶとは感じられないと思う人が多くいるのも当然だ。また、自分は見られて困るようなデータは置いていない、知られて困るようなことはしていない、だからFBIに覗かれても別に構わない、という人もいるだろう。今回の論争には決着が付かなかったが、今後も幾度も似たような事態が起きて同じような論争が起きるのは間違いない。というよりも、暗号などに対して国家権力が利用できるバックドアを設けるべき、という議論は、1993年のクリッパーチップをはじめずっと以前から存在する。これから先、セキュリティ側の論理が徐々に一般に浸透していくのだろうか。それとも「別に構わない」といったような消極的監視容認が大勢を占めることになるのだろうか。

その3に続く

米露サイバー戦争 2017 (2) ホワイトハウスのブログとオバマの決断

January 20, 2017 08:30

by 江添 佳代子

ブログに記された解説と改正の詳細 前回に紹介したオバマ大統領の声明文で興味深いのは、やはりロシアへの報復措置が具体的に挙げられた部分である。しかし「どれぐらい重大なことが起きたのか、あまりピンとこない」と感じた人もいるだろう。 実はホワイトハウスのブログ(こちらはオバマ首相ではなく、国家安全保障会議…

2016年サイバーセキュリティ重大トピックス (7) 史上最高の「1Tbps超」DDoS攻撃が発生。誰もが誰にでも巨大DDoSができる時代

January 20, 2017 08:00

by 西方望

多数のネットワーク機器から1ヵ所に大きな負荷を掛けるDDoS(Disributed Denial of Services:分散型サービス拒否)攻撃は非常にやっかいな代物だ。 大規模なDDoSに対しては、即時的・効果的な防御手段はほとんどなく、高速なサーバー、広帯域の回線、多数の機器による負荷分散を備…