iPhoneロック解除が示したアップルの「弱点」 肝心な製品セキュリティ部門が揺れている
政府が3月28日、裁判所を通したロック解除の要求を取り下げると表明すると、アップルは「当社のデータへの脅威がより頻繁かつ高度になっており、当社製品のセキュリティを引き続き強化していく」というコメントを発表した。
アップルは自社製品のセキュリティ強化のため、長期にわたる取り組みを数多く進めてきた。ティム・クックCEOは社員に対して、同社の製品とサービスに保存されているすべてのデータ及び、ユーザーがモバイル機器のデータのバックアップに使える「iCloud(アイクラウド)」に保管されているデータを暗号化するという方針は貫くと語っている。アップルのエンジニアたちは、政府によるiPhoneのロック解除がより困難になるような新たなセキュリティ対策の開発にも着手している。
どうやってセキュリティを突破したのか
「iOS 9」が搭載されていたファロックの「iPhone 5c」のセキュリティを政府がどうやって突破したのか、現時点では開示されていないため、専門家も推測するにとどまっている。チップを取り出してパスコードの解読をブロックする機能を無効にすることで、データを抽出したのではないかという意見もある。
NANDというフラッシュメモリを取り外し、コピーを取る「NANDミラーリング」と呼ばれる手法を使ったとも考えられる。これにより、パスコードの入力を10回間違えても、iPhoneのデータを復元して、また別のパスコードを試すことができる。
アップルの製品が広く普及するのに伴い、その脆弱性がますますハッカーの標的になっているにもかかわらず、同社のセキュリティチームは盤石な体制が整っていない。
以前はセキュリティの中心を担う2つのチームを擁していた。コアOSセキュリティエンジニアリングと呼ばれるチームと、プロダクトセキュリティチームだ。3人の元社員によると、プロダクトセキュリティチームは、データが正確に暗号化・非特定化されているかなどを調べてプライバシー保護にあたるグループや、社内の「レッドチーム」や外部から発見された脆弱性に対応するスタッフなどから成っていた。
