今週、連邦政府がアップルに対し自社のソフトウェアにバックドアをインストールするよう強制したことを受けて、同社はスマートフォンのプライバシー保護の闘士として称賛されている(アップルは直ちにこれを非難した)。
Appleは拒否しているにもかかわらず、サンバーナーディーノ銃乱射事件の犯人の携帯電話から、iCloudのバックアップと関連するすべてのiCloudデータを含む、膨大な個人情報を既に公開しています。これはAppleにとって常套手段であり、(通常は)法を遵守する企業として、捜査に関連するすべてのデータを法執行機関に提供し、過去にも複数回にわたり携帯電話から情報を抽出しています。
ティム・クックは、今では悪名高い書簡「お客様へのメッセージ」の中でこのプロトコルを確認しました。
「FBIが当社が保有するデータを要求した場合、当社はそれを提供しています。Appleはサンバーナーディーノ事件と同様に、有効な召喚状や捜索令状に従います」とクック氏は書簡に記した。
裁判所の当初の申し立てで指摘されているように、FBI は令状を執行し、2015 年 10 月 19 日までの iCloud 情報を Apple から入手しました。
明確に申し上げると、ここではセキュリティとプライバシーという2つの概念が関係しています。どちらも考慮すべき重要な概念ですが、その背後にある動機はそれぞれ異なります。
セキュリティとは、人々(政府、Apple、または第三者)がデバイスにアクセスする手段を持たないようにすることです。プライバシーとは、Appleのサーバーに保存されているユーザーデータがユーザー以外には見られないようにすることです。ある意味で、セキュリティはプライバシーを生み出すのです。
これは、Appleと連邦政府の間の主な争点とは異なる問題であり、連邦政府は、FBIに物理デバイスを独自に解読する手段を与えることになる。
クック氏は書簡の中で、アップルはデータの安全性を保っているとも主張している(この場合、データへの誰がアクセスできるかは保証しているが、セキュリティや暗号化の完全性は保証していないため、これはプライバシーの問題である)。
「長年にわたり、お客様の個人情報を保護するために暗号化を採用してきました。それがお客様の情報を安全に保つ唯一の方法だと考えているからです。お客様のiPhoneの内容は当社には関係のないものだと考えているため、当社はそのデータを当社自身の手の届かない場所に保管しています」とクック氏は述べている。
政府に提供された iCloud バックアップから判断すると、これは完全に真実というわけではありません。
実際、FBI は前述の 10 月 19 日のバックアップを上回るデータを持っている可能性があります。
iPhoneは、表面上見える以上にiCloudとの結びつきが強いです。もちろん、ユーザーは電話全体のバックアップの自動同期をオフにしたり、メモや今後のカレンダーの予定の同期といった個別のサービスをオフにしたりすることも可能です。しかし、2015年末に公開されたiOSセキュリティに関するホワイトペーパーによると、iMessageなどの他のサービスも、写真やその他のメディアを含む大容量メッセージなどのデータの転送経路としてiCloudを利用しています。
iOSのバージョンによって異なりますが、iMessageの送信方法では最大4KBまたは16KBのメッセージしか送信できません。公平に言えば、画像、音声、動画を送信する場合、これはそれほど大きなファイルサイズ制限ではありません。Appleはこれらのメッセージを安全な256ビットキーで暗号化し、iCloud経由で送信します。しかし、iMessageはApplyサーバーで配信待ちとなり、最大30日間保存されます。つまり、FBIは2015年12月2日の銃撃事件発生日までのメッセージ(暗号化されている可能性はありますが)を保有している可能性があります。
問題のiPhone 5Cに代替ソフトウェアを提供するようAppleに強制する裁判所文書の中で、連邦捜査官のクリストファー・プルハーはiCloudサービスから実際に回収されたデータについて漠然と説明している。
「私と他の人たちは、対象デバイスの複数のiCloudバックアップを入手することができました。また、対象デバイスに関連付けられたすべての保存されたiCloudデータを取得するためにAppleから令状が執行されたことも認識しています」とプルハールは報告書に記している。
FBIが「iCloudに保存されたすべてのデータ」と10月19日より前の関連バックアップという漠然とした情報以外を把握しているかどうかは不明だ。しかし、令状からFBIが受け取ったデータに関する情報に基づくと、FBIがそのデータにアクセスできるということはわかる。つまり、ある程度は暗号化されていないということだ。
ニューヨーク・タイムズ紙は、Apple CEO ティム・クック氏のセキュリティに対する姿勢に関する記事の中で、暗号化されていない iCloud バックアップについて同様の点を指摘している。
「クック氏は同僚に対し、アップルの無数のデバイス、サービス、そしてクラウド上に保存されているすべてのデータを暗号化するという同社の長年の計画を依然として堅持していると語った。クラウド上には依然として大量のデータが暗号化されていないまま保存されている」とケイティ・ベナーとニコール・パールロスは書いている。
しかし、Apple は同じセキュリティ ドキュメントで iCloud がバックアップするすべての内容を概説しており、すべての設定をオンにすると、iCloud は次のものを保存します。
- 購入した音楽、映画、テレビ番組、アプリ、書籍に関する情報ですが、
- 購入したコンテンツ自体
- カメラロールの写真とビデオ
- 連絡先、カレンダーの予定、リマインダー、メモ
- デバイス設定
- アプリデータ
- iBooks に追加されたが購入されていない PDF と書籍
- 通話履歴
- ホーム画面とアプリの整理
- iMessage、テキスト(SMS)、MMSメッセージ
- 着信音
- ホームキットデータ
- HealthKitデータ
- ビジュアルボイスメール
これは、容疑者が10月19日より前にどの設定をオンにしていたのか、あるいは、データを完全にバックアップせずiCloud経由で送信する意図しない設定がオンのままになっていたのかが不明なためです。FBIは10月19日までのiCloudバックアップ(携帯電話の完全な復元ポイント)しか保有していないと主張しているため、これらのデータすべてを「iCloudに保存されているすべてのデータ」として保有している可能性もあります。
iPhone ユーザーにとって、サンバーナーディーノ事件は、携帯電話の中にだけ保存されていると思っていた情報が実際にはどこに保存されているのか、また裁判所命令が出た場合に誰がその情報にアクセスできるのかという点について警鐘を鳴らすものとなるだろう。
Appleがこのような行動をとったこと自体は悪いことではありませんが、Appleの立場に関してプライバシーとセキュリティのバランスを考える際、状況はAppleもFBIも認めたくないほど微妙であることを念頭に置くことが重要です。また、リモートサーバーやクラウドに何かを保存する場合、その情報に対するコントロールは失われます。
アップル社はコメントに応じていない。
