2016年サイバーセキュリティ重大トピックス (2) プライバシーか、安全保障か? テロ事件証拠のiPhoneロック解除を巡る大論争

西方望

December 28, 2016 07:01
by 西方望

アメリカ大統領選挙でトランプ氏を勝たせた最も大きな要因は、持てる者と持たざる者の格差、つまり経済的な分断だろう(その結果が大富豪の大統領、ウォール街から多数の閣僚登用という状況は皮肉と言えば皮肉だが)。だがアメリカを蝕む分断はそれだけではない。もちろん経済的格差とも関連するし、トランプ氏もたびたび煽っているが、人種や宗教の分断はさらに根深い。このところ問題になっている警官による黒人への理不尽な暴力や射殺事件などは今年も相次ぎ、黒人大統領が誕生する世でもまだ白人と黒人には厳然として差があることがあらためて感じられた。宗教についても、特に9.11後はイスラム教への差別が強まり、それがかえってムスリム青年を過激思想へ押しやってしまうことになっている。2015年末に起きたカリフォルニア州サンバーナディーノでの銃乱射も、そのようなホームグロウンテロの一種だったのだろう。

iPhoneのロックが解除できないFBI

14人の死者(容疑者を含めると16人)と多数の負傷者を出したこの凄惨な事件についてはさまざまな側面で考えるべき点があるが、容疑者がFacebookを使っていたなどごく普通のこと以外、事件自体には「サイバー」なところはないので詳細は省く。だが、この事件の捜査過程で、セキュリティに携わる誰もが無関心ではいられない事態が起きた。容疑者が使用していたスマートフォン、iPhone 5cを巡ってFBIとAppleが激しく対立し、さらにはIT業界から政界、いや世間一般までをも巻き込む大論争に発展したのだ。

容疑者の使用していたiPhoneはロックされており、その解除にはPIN(数字)の入力が必要だった。事件の全容解明のために、是非にも通話やテキストの内容を見たいというのは当然だ。だがFBIにはそのPINコードはわからない。10回続けて誤ったPINを入力してしまうと暗号鍵が破棄され、中のデータにはアクセス不能になってしまうため、総当たりで試すということもできない。そこでFBIはiPhoneの製造元であるAppleに協力を要請したのだが、Apple自身でもロックを解除することは不可能。自分で番号を設定できるナンバー錠や金庫は、その錠前を作ったメーカーでも開けられないのと同じことだ。しかしAppleは要請に応えロック解除あるいはデータを参照できる可能性がある手段をいくつかFBIに提示したものの、そのいずれも(FBIの不手際もあって)失敗に終わったという。

Appleに裏口作成を依頼

だがこれでもう容疑者のiPhoneのロックを解除する手段がないのか、といえばそうではなかった。ファームウェアを書き換えて、10回続けてPIN入力に失敗したら鍵破棄という設定を無効にすることは可能だったのだ(現在のiPhone/iOSでは不可能とされる)。こうなれば総当たりで試せばよい。しかしロックされているスマートフォンのファームウェアの書き換えなどということが誰にでもできてしまうのであれば、セキュリティも何もないようなものだ。このためには、Appleが署名した特殊なファームウェアを用意する必要がある。つまりApple自身に「裏口OS」を作ってもらわなければならないのだ。FBIが次にAppleに要請したのはこの裏口の作成だが、Appleはこれを断固拒否する。それはそうだろう。容疑者のiPhoneの解除だけで済むことであればAppleも協力するにやぶさかではない、というか実際協力したわけだが、この裏口はすべてのiPhoneに使えてしまう。つまり、マスターキーをFBIに渡してしまうことになるのだ。FBIが誰かのiPhoneを覗きたいと思えば覗き放題、さらにもしこれが漏洩したりすればiPhoneのセキュリティにとっては壊滅的な打撃となる。FBIが今回の事件にしか使わない、絶対に漏洩はさせない、と保障したところで大して意味はないのはもちろんだ。

しかしもはやこれ以外にロック解除の手段がないFBIは今年の2月、裁判所命令を取ってAppleに協力させようとするが、Apple側はこれも拒否。ティム・クックCEOはサイト上で声明を発表、プライバシーを脅かす危険な先例を作ることはできない、と徹底抗戦の姿勢を示した。ここから大論争が巻き起こる。IT企業の多くはAppleを支持する立場だったが、議会や政府関係者からはAppleを非難する声が上がった。要するに、テロ事件の捜査という国家の安全保障に関わる状況で、協力する能力があるのに協力しないAppleはけしからん、ということだ。しかしAppleはいっさい妥協は見せず(と言ってもそもそも妥協点のない問題だが)、この争いは長期化するかと思われた。ところが急転直下、FBIはApple以外の民間企業の技術によってiPhoneのロック解除に成功したとして、訴えを取り下げたのだ。これもまたアメリカを分断したとも言っていい論争は、こうしてあっけなく消え去ってしまった。

1993年から続く議論

そして、プライバシーか国家の安全保障か、という問題は明確な決着が出ないまま今も宙ぶらりんの状態となっている。筆者含め、セキュリティ関係者の多くはAppleの立場の方が妥当だと考えていると思う。だがアメリカ国民に対する世論調査では、FBIを支持する意見の方が多かったのだ。おそらくそのかなりの部分は問題の本質を理解しておらず、残虐なテロ事件の捜査に協力しないAppleが悪い、と単純に考えたのではないかと思うが、理解していたとしても、AppleがいわばiPhoneのマスターキーをFBIに渡したところで、自分に何かの害が及ぶとは感じられないと思う人が多くいるのも当然だ。また、自分は見られて困るようなデータは置いていない、知られて困るようなことはしていない、だからFBIに覗かれても別に構わない、という人もいるだろう。今回の論争には決着が付かなかったが、今後も幾度も似たような事態が起きて同じような論争が起きるのは間違いない。というよりも、暗号などに対して国家権力が利用できるバックドアを設けるべき、という議論は、1993年のクリッパーチップをはじめずっと以前から存在する。これから先、セキュリティ側の論理が徐々に一般に浸透していくのだろうか。それとも「別に構わない」といったような消極的監視容認が大勢を占めることになるのだろうか。

その3に続く




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…