今更なiPhoneのセキュリティ抜け穴の話です。
Appleは表向き、「セキュリティ万全」をアピールしますが、厳密にはウソなのです。
FBI(米連邦捜査局)とFSB(ロシア連邦保安庁)の両方が使っている携帯電話解析ツールが、アップルのオペレーティングシステムにあるセキリティの抜け穴を利用していることを、モスクワで行われた裁判が強く示した。
ロシアの携帯電話解析会社2社による法廷闘争において、アップルのオペレーティングシステム、iOS 16に「ゼロデイ」脆弱性がある可能性が明らかになった。
CEOのウラジミール・カタロフが創業したロシア企業のElcomsoftは、競合するMKO-Systemsを訴えた裁判で、iOS 16の動作しているiPhoneに奥深く侵入し、隠されたパスワード、位置情報、閲覧履歴、写真などの個人情報を取得するコードを、MKOが自社から盗んだと主張している。Elcomsoftの顧客である法執行機関にとって、それらのツールは極めて有用であり、ロック解除されたiPhoneから、通常の方法よりも多くのデータを抽出することができる。
その種の解析調査ツールが機密データを収集するには、iOSの脆弱性を利用する必要がある。セキュリティ専門家のブルース・シュナイアーによると、このようなツールはゼロデイとして知られるパッチが適用される前の欠陥や、iOS 16のさまざまな脆弱性を利用している可能性があるという。しかし、元NSA(国家安全保障局)のスタッフで現在はサイバーセキュリティ分析会社のIANS Researchに在籍するジェイク・ウィリアムズは、ハッカーらは「誰も知らないデータ構造か難読化アルゴリズムをリバースエンジニアしている」可能性が高いと語った。アップルが9月に公開したiOS 17が同じ影響を受けるかどうかはわかっていない。
CEOのウラジミール・カタロフが創業したロシア企業のElcomsoftは、競合するMKO-Systemsを訴えた裁判で、iOS 16の動作しているiPhoneに奥深く侵入し、隠されたパスワード、位置情報、閲覧履歴、写真などの個人情報を取得するコードを、MKOが自社から盗んだと主張している。Elcomsoftの顧客である法執行機関にとって、それらのツールは極めて有用であり、ロック解除されたiPhoneから、通常の方法よりも多くのデータを抽出することができる。
その種の解析調査ツールが機密データを収集するには、iOSの脆弱性を利用する必要がある。セキュリティ専門家のブルース・シュナイアーによると、このようなツールはゼロデイとして知られるパッチが適用される前の欠陥や、iOS 16のさまざまな脆弱性を利用している可能性があるという。しかし、元NSA(国家安全保障局)のスタッフで現在はサイバーセキュリティ分析会社のIANS Researchに在籍するジェイク・ウィリアムズは、ハッカーらは「誰も知らないデータ構造か難読化アルゴリズムをリバースエンジニアしている」可能性が高いと語った。アップルが9月に公開したiOS 17が同じ影響を受けるかどうかはわかっていない。
カタロフは彼のソフトウェアが利用している脆弱性の内容についてはコメントを避けた。アップルは複数回のコメント要請に応じなかった。MKO-Systemsもコメントの要請に応じていない。
Elcomsoftが訴えた相手はMKOだけだが、同訴訟では、同じ盗まれたコードが米国拠点のライバル会社であるOxygen ForensicsのiPhone解析製品でも使用されていると主張している。Oxgenは、MKOの立ち上げにも協力した2名のロシア人起業家、オレグ・フェドロフとオレグ・ダビドフが創業した会社だ(Oxgenはコメント要請に応じていない)。
Elcomsoftが訴えた相手はMKOだけだが、同訴訟では、同じ盗まれたコードが米国拠点のライバル会社であるOxygen ForensicsのiPhone解析製品でも使用されていると主張している。Oxgenは、MKOの立ち上げにも協力した2名のロシア人起業家、オレグ・フェドロフとオレグ・ダビドフが創業した会社だ(Oxgenはコメント要請に応じていない)。
もしElcomsoftの主張が正確なら、iOSのハッキングコードは現在、ロシアと米国両方の法執行機関の手にあることになる。政府の契約記録によると、ElcomsoftのツールはFBIおよび税関・国境警備局が使用しており、カタロフがフォーブスに語ったところによると、同社はロシアの公安警察情報組織であるFSBにも製品を販売しているという。また、Oxygenは米国全土の連邦機関と数多くの契約を結んでおり、FBI、移民・関税執行局(ICE)、国境警備局(CBP)も含まれる。一方、MKOの技術は、ロシアのFSBおよび内務省に販売されたと、MKOのソフトウェアを販売しているパートナー会社がウェブサイトに書いている。
つまり、米国とロシアの無数の政府機関が、iOS 16の動作するロック解除済みiPhoneに奥深くアクセスできるということだ。iPhoneの所有者がテロリストでも、路上犯罪者でも、不法滞在者でも、あるいは抗議活動の参加者であっても。
ロシア政府がiOS 16の保護を破るツールを利用できるという事実は、ウクライナ戦争を鑑みると大きな懸念となる。「ロシアがウクライナで価値の高い目標から没収した携帯端末の解析を行っていることは間違いない」とウィリアムズは言う。「ロシアの国防省と諜報機関は、同国の法執行機関が入手したツールを利用できる。おそらく現在市場にある携帯電話解析ツールのほとんとが含まれているだろう」。
モスクワ仲裁裁判所に11月末に提出されたその訴訟で、Elcomsoftは、自社が所有するiOSハッキングコードを、MKO-Systemsが盗み、同社の解析製品に「ほぼ変更無しに」使用していると主張している。Elcomsoftは訴訟を起こす前、MKOに対して当該コードを含むソフトウェアのライセンス販売中止と、賠償金500万ルーブル(約800万円)の支払いを要求した。これに対してMKOの弁護団は、いかなる知的財産の窃盗もしていないと否定した。MKOは本稿の公開時点で訴訟に回答しておらず、コメント要請にも応じていない。
Elcomsoftは訴状の中でOxygenの社名を挙げているものの、同社を訴えてはいない。しかし、Elcomsoftの主張はOxygenとロシアとの関係を強調しており、これはOxygenがFBI、ICE、およびCPBと契約していることを踏まえると注目に値する。
「Oxygenのかつてのロシアとのつながりが、国家安全保障の直接的懸念であるかどうかの判断は難しい。しかし、Elcomsoftが主張するコード窃盗疑惑を踏まえると、状況は以前より悪くなっている」とウィリアムズは言う。「Oxgenを使用している組織は、今回の訴訟における主張を評価した後、自分たちのリスクプロファイルを評価する必要がある」。
モスクワ仲裁裁判所に11月末に提出されたその訴訟で、Elcomsoftは、自社が所有するiOSハッキングコードを、MKO-Systemsが盗み、同社の解析製品に「ほぼ変更無しに」使用していると主張している。Elcomsoftは訴訟を起こす前、MKOに対して当該コードを含むソフトウェアのライセンス販売中止と、賠償金500万ルーブル(約800万円)の支払いを要求した。これに対してMKOの弁護団は、いかなる知的財産の窃盗もしていないと否定した。MKOは本稿の公開時点で訴訟に回答しておらず、コメント要請にも応じていない。
Elcomsoftは訴状の中でOxygenの社名を挙げているものの、同社を訴えてはいない。しかし、Elcomsoftの主張はOxygenとロシアとの関係を強調しており、これはOxygenがFBI、ICE、およびCPBと契約していることを踏まえると注目に値する。
「Oxygenのかつてのロシアとのつながりが、国家安全保障の直接的懸念であるかどうかの判断は難しい。しかし、Elcomsoftが主張するコード窃盗疑惑を踏まえると、状況は以前より悪くなっている」とウィリアムズは言う。「Oxgenを使用している組織は、今回の訴訟における主張を評価した後、自分たちのリスクプロファイルを評価する必要がある」。