もうパスコードとか意味なし？

2015年12月、米カリフォルニア州サンバナディーノ郡で起きた銃乱射事件で、犯人のiPhoneを簡単にはロック解除することができず、Appleに協力を求めたFBI。重大犯罪などが起きたとき、たとえ本人の同意が得られなくても、勝手にAppleがユーザーのiPhoneをロック解除するべきか？ この争点をめぐっては、ずいぶんと議論がなされましたよね。

でも、Appleとしては、常に同社が自由にロック解除できてしまうような抜け道を設けておくことこそ、iOSユーザーのセキュリティが脅かされる事態につながるため、安易に対応するわけにはいかないようです。そこで、Cellebriteをはじめとする、5000ドルクラスの手数料を支払って、なんとかセキュリティを突破し、ロック解除してくれるセキュリティ企業やハッカーなどに頼らざるを得ない現実があるのですが…。

このほどセキュリティソフトウェア企業のMalwarebytesは、iPhoneをつなぐだけでいとも簡単にロック解除が完了してしまうApple TVのようなデバイスの存在を指摘！ その名も「GrayKey」、2016年にアトランタで創業したGrayshiftによって開発された製品ですが、捜査当局などに供給されて、すでに運用を開始しているようですよ。どれくらいの数のGrayKeyが、どのような団体組織に提供されてきたのか、まったく明らかにされてはいませんけど、需要は大きいのでしょうね。

正確な実態は把握されていないものの、GrayKeyには2モデルが存在しているみたいです。まずは特別にセットアップされたネットワーク環境を必要とする、1万5000ドルのモデルが廉価版として供給されており、機能制限つきで利用可能。一方、3万ドルのモデルは、オフラインでも独立して使用でき、何台でも無制限にiPhoneのロック解除が可能になっているんだとか～。

ロック解除に成功したiPhoneの情報からすると、ほぼ最新版のiOS 11.2.5が搭載されたデバイスでも、早ければGrayKeyにつないで2時間もしないうちにパスコードが明らかになります。複雑なパスコードの設定されたiPhoneになると、ロック解除に3日以上かかる場合もあるようですが、最終的には、ほとんどすべてのiPhoneのセキュリティを突破できるとのことですね。

こうして一度、GrayKeyでロック解除されてしまうと、そのiPhoneの中身の全データが自由に閲覧ダウンロード可能となるほか、新しいパスコードを設定するなどして、当初のユーザーのロックを完全になきものにすることができるそうです。こんなものが犯罪組織などの手に渡れば、盗んできたiPhoneを初期化して売り飛ばすのも、朝飯前な無法状態となってしまいそうですよね。いずれは、Appleが、GrayKeyにパスコードを破られないようにiOSをバージョンアップしたり、またイタチごっこが始まってしまうのかな？

Images: Malwarebytes
Source: Malwarebytes

Sam Rutherford - Gizmodo US［原文］
（湯木進悟）