2014年5月6日から7日にかけて、iPhoneのセキュリティに関するニュースがありました。曰く「iOSのメールアプリで添付ファイルが暗号化されない」というものです。
いったい、何がどう危険なのでしょうか?(「危険!」というアオリ記事にご注意下さい。m(_ _)m)
(2014年5月13日:紛らわしい表記を少しだけ修正しました。)
はじめに
一昨日から昨日(2014年5月6日-7日)にかけて以下の様なニュースがありました。
- iPhone Maniaさん「メールに注意!最新のiOS 7.1.1でも添付ファイルが暗号化されてない重大なバグ!」
- ギズモード・ジャパンさん「iOS 7に脆弱性発覚! 添付ファイル付きメールは控えたほうがいいかも」
- CNET Japanさん「「iOS 7」の「Mail」アプリ、添付ファイルを暗号化せず–セキュリティ研究者が警告」
「重大なバグ!」「脆弱性発覚!」とかなり煽っています。不安な方もいらっしゃるのではないかと思います。さて、何がどう危険なのでしょうか? これらの中では、CNET Japanさんの記事が適切なので、まだ読まれていない方はそちらを参照されることをおすすめします。
尚、私はiPhoneユーザーではありませんので、本記事中で解釈が間違っている場合は多々あります。
結論
これらの記事の元になったセキュリティ研究者のKurtzさんのブログ記事「What Apple Missed to Fix in iOS 7.1.1」を見ると、結論は以下のようです。
Kurtzさんの主張
「Appleさんは『iOSのデータ保護機能はメールの添付ファイルも保護する』と言っているけど、iOS7.1.1(7.1.0、7.0.4も同様)『よく知られている方法』で見えちゃうよ!」
(私は、「データ保護機能」=暗号化ファイル・システムと解釈。)
そして「よく知られている方法」の後の、ファイル・システムのマウント、添付ファイルのディレクトリに移動、PDFをダンプするまでのコマンドを示しています。
iOSにリモートでログインすると、ファイル・システムの操作によって添付ファイルが見えてしまうということで、「メール送信時に通信路で覗き見できることが危険」とは言っていません。
AdamさんとRichさんの主張
CNET Japanさんの記事の後半に出てくる、セキュリティ専門家のAdamさんとRichさんは「iOS 7 Email Attachment Vulnerability Real but Limited」の中で以下のようにいっています。(もうタイトルに書いてありますが。(^^))
- iOSは、パスコードを設定すると保護されたファイルにはそれなしにアクセスできない。
- iOSのパスコードはハードウェア・キーと連携しており、クラックするにはiPhoneを(物理的に手に入れ)コンピューターをつないでプルートフォース・アタック(パスワードを総当りで試すこと)するしかない。
- パスコードを適切(6-8文字)に設定している場合は、ものすごく困難。iPhone4s、iPad2より前の機種はハード的にちょっと脆弱だけど。
- 攻撃者は、すべてを持っていて(物理的に持っていることと、他のセキュリティは突破していることの意か?)、パスコードを知っているか、あるいはそれを知らなくても良い「脱獄」をして、はじめてファイル・システムにアクセスできる。
- Kurtzさんの「よく知られている方法」は後者だけど、新しいiPhone5sやiPad2は結局「脱獄」するにもパスコードが必要になる。(Kurtzさんは既に「脱獄」していて、「よく知られている方法」に対して既に脆弱だったんじゃないの?)
- 添付ファイルが暗号化されていないバグがあったにしても、そのファイルにはアクセスできないよ。
※「脱獄」:iPhoneユーザー用語で、Apple Store以外で流通している怪しいアプリをインストールすることらしいです。
AdamさんとRichさんの結論は以下です。
「攻撃者が興味をもつような機密情報を受信している場合(未だにiPhone4の企業管理者など)を除き、ほとんど心配ないよ。」
心配しなくても良い方
AdamさんとRichさんを信じるのであれば、以下に該当する方は、今回の「バグ」で心配する必要はなさそうです。
- iPhoneを落とさない方 : 攻撃者が実際に手にしない限り、ファイルは見られません。
- iPhoneにパスコードを設定していない方 : 設定していないのであれば、上記「バグ」はあまり関係ありません。
- iPhone4s以降を使っていて、脱獄していない、普通の方 : 「バグ」によって暗号化されていなかったとしても、ファイルにアクセスするのは困難らしいです。
1点目は、Kurtzさんの情報のみでも言えると思います。
3点目に関しては、「攻撃者はあなたの情報に対してクラックの困難をいとわない」と思われる場合は、心配する必要があります。
念のためですが、私は「危険でない」という主張をするのではありません。「危険かどうか」はそれぞれの状況と主観によりますから。しかしアオリを鵜呑みにして、過剰に心配してしまうのはよろしくありません。(以降、「危険」という語を使いますが、状況と主観により変わりうることを意図して使います。)
そして、重要な通信をメールで行うことは、意図的に暗号化していない限りは、「危険」です。
各記事の感想
私がはじめて読んだ記事は、iPhone Maniaさんの「メールに注意!最新のiOS 7.1.1でも添付ファイルが暗号化されてない重大なバグ!」です。これを読んで私は、本件が通信路上で暗号化されていないことが問題かと勘違いし、「iPhoneってデフォルトでS/MIMEなの?Appleさんはユーザーに無料で証明書を発行しているの?太っ腹!」と別の意味で(さらに勘違いをして)興味を持ちました。
この記事の一番下の「【追記】2014/5/6 19:30」では、発声練習さんの「[メモ] iOS上に保存されているメールおよびその添付ファイルが生で保存されているとのこと」を引用し、「詳細でわかりやすい解説をしてくださっています。」と述べています。
発声練習さんの記事を読んではじめて私は自分の勘違いに気づきました。
iPhone Maniaさんの場合
この記事には、「盗み見られる場所」が通信路上なのか、ファイル・システムなのか一切書いていません。
そして最後の「対応策は2つ!次のアップデートはすぐにインストールを!」の節では、対応策として以下を挙げています。
1:対応したアップデートをインストールするまで、iOSデバイスで、重要なファイルが添付されるメールを扱わない
2:iOS 7にアップデートが公表されたら、すぐにインストールする
ここまで読んだ読者は、現状で「重要なファイルが添付されたメールをやり取りするのは非常に危険」であり、将来発行されるであろう対応したアップデートを適応すれば「安全」であるとミスリーディングされる可能性があります。
通常のメールは通信路上で暗号化されていないので、対応したアップデートを行ったとしても「重要なファイルが添付されたメールをやり取りするのは非常に危険」には変わりありません。
何より残念なところは、追記で発声練習さんの記事を紹介しているにも関わらず、「バグ」がファイル・システムのものだという追記や、ミスリーディングを誘う個所を修正していないことです。
(AdamさんとRichさんの情報は、iPhone Maniaさんは参照していません。)
ギズモード・ジャパンさんの場合
次に、ギズモード・ジャパンさんの「iOS 7に脆弱性発覚! 添付ファイル付きメールは控えたほうがいいかも」を読みました。
冒頭より引用します。
iPhoneで添付ファイル付きのメールを送るのは控えたほうがよさそうです。
確かに、暗号化されていたファイルを添付したことで、「送信済みトレイ」のようなディレクトリにコピーされ、暗号化が解除され見えるようになることは「危険」かもしれません。しかし受信することも同様に危険なのではないでしょうか?(受信するケースの方が多いように思います。)
こちらも「盗み見られる場所」についての言及はありません。(最後にCNETさんの記事を参照しているので、もうワンクリックでAdamさんとRichさんの記事に行き着けましたね。)
CNET Japanさんの場合
次にCNET Japanさんの記事を読みました。冒頭にも書きましたが、この記事が私の読んだ中では適切でした。原文の記事よりAdamさんとRichさんの記事に飛び、私の中では本件、腑に落ちました。
推測
私の推測に過ぎません。
iPhone Maniaさんとギズモード・ジャパンさんのライターさんは、暗号化の場所がファイル・システムだろうが通信路だろうが興味がなかった、あるいは通信路上のことだと思い込んでいたのかもしれません。
もしそうだとしたら、「メールは基本的に平文(暗号化されていない文)」ということを知らない可能性も考えられます。
かくいう私も、発声練習さんの記事を読まずに英語の記事を読んでいたとしたら、正確に理解できなかったかもしれません。ただ「メールは平文」は知っていましたので、先に述べた妙な誤解をしてしまいました。(そして調べました。)
あたりまえのこと
今回の「バグ」の話で、私は基本的なことを再確認すべきだと、思いました。
- 落とさない、なくさない。
- なくしても触られないように、パスワードロックする。遠隔ロックする方法を確認する。必要なセキュリティはかけておく。
- パスワードは適切に。
- なにより「メールは、通常は暗号化されていない。」
あと、AndroidはSDカードを抜かれてしまえば読まれるので、「危険」なのかもしれませんね。(iPhone Maniaのライターさんの主張を適応したとすれば。)
さいごに
伝言ゲームにより、発信者のニュアンスはずれていきます。記事のライターも、アオリやミスリーディングを意図していないとは思いますが、結果としてそうなる場合があります。
読み手としてもネットの記事を読むときは心する必要がありますね。
私も興味があり、疑問に思う内容は本件のように掘りますが、そうでない場合(興味がそれほどないか、私の先入観と記事が一致する場合)は鵜呑みにしてしまいます。
今回iPhone Maniaさんの記事にミスリーディングされた福音として、私は自分のメーラーにS/MIME(メールの暗号化)の設定をすることができました。
次回は、そのS/MIMEの設定について書こうと思います。
「メディアのミスリード」「iOS製品のバグ」…このどちらにフォーカスするか?次第ですが,
後者の場合,この問題の本質は
「アップル社は,iOS端末を盗まれても落としても,端末内データは専用のハードウェアチップで暗号化されてるから安心です. どうぞエンタープライズ利用してください」
と言っていたのに
「iOS端末内データである,iMAPメールデータについては,なぜか暗号化されてなかった」
というコトです
——
この件は,iOS製品(それもある時期以降の)限定の”ハードウエアの”話題で,発送法的展開/わかってはいるとおもいますが,一般論拡張(AndroidやPCや,S/MIME..)はちょっと違う話だったりします
※例えば,平文メールでも暗号化保存してあるべきだったんです<iOSの場合/そうアップル社はそう言っていたので^^
——
…そのむかし,エンタープライズ市場/端末セキュリティはBlackBerry等含めて比較チャート書くと弱かった分野です>:iPhone
…例えば当時でも日本製携帯は,紛失時指紋認証等で保護できているのに,iPhoneは出来ない/パスコード総当たりでアウト..導入難しいよねと言われていたのでした^^
最近はBYOD(や対策ソリューション)とかで随分状況/要求変わってますけどね^^
コメントありがとうございます。
私のフォーカスは前者ですね。(iPhoneユーザーではありませんんから。)
ご指摘の問題の本質(アップルのクレームと仕様が異なるということ)は、Kurtzさんのブログを読んでわかっていました。バグや欠陥といった表現は、リンク先の記事を尊重しました。
また一般拡張の件は、私の連想ゲーム((メディア)「暗号化されないバグ。危険」→(私)「通信路?デフォは暗号化?」)を自嘲的に表したつもりでしたが、分かりにくかったでしょうか。
大体のイメージ/アップル社の端末保護は
http://www.apple.com/jp/ipad/business/docs/iOS_Security.pdf
の Data Security > Encryption の ”S/MIMEやiTunes_ではない_”トコロ
また,むしろ
https://www.nic.ad.jp/ja/materials/iw/2011/proceedings/s10/s10-03.pdf
の データ保護 のところが解りやすいかも..
後者はわかりやすですね。
しかしDisk I/O自体が暗号化の対象だとすると、最初のKurtzさんの「添付ファイルが見えちゃうよ」は何でしょうね。
秘密鍵が再現されているのが前提で(そうしないとCDコマンドすらできないと思われる)、添付ファイルのみが「well-known technique」で見える場所にあるということでしょうか。