ジョンズ・ホプキンス大学の暗号学教授マシュー・グリーン氏と学生グループは、AppleのiMessageサービスのセキュリティを数ヶ月にわたって調査した結果、恒久的に修正できない根本的な欠陥があることを発見しました。グリーン氏は、ユーザーに安全な通信を提供したいのであれば、Appleはサービスの暗号技術を全面的に刷新すべきだと提言しました。
セキュリティは難しい ― バックドアはそれをさらに困難にするだけ
グリーン氏は、米国政府が、デバイスや通信をユーザー自身でしか解読できないことを意味するのであれば、テクノロジー企業はデバイスに強力な暗号化やセキュリティを使用すべきではないと主張している今、この発見はより一層重要であると述べた。
米国政府をはじめとする各国政府は、過去1年間、企業に対し暗号化技術にバックドアを追加するよう求めてきました。発見されても修正されない脆弱性は、政府にとって事実上のバックドアとみなされる可能性があります。どちらの場合も、最終的には同じ結果をもたらします。つまり、民間間の通信にアクセスできるはずのない情報にアクセスできてしまうのです。
グリーン氏はまた、AppleがiMessageプロトコルの設計に熟練した暗号化の専門家を起用していたにもかかわらず、それでも完全には実現できなかったと述べた。これは、政府が義務付けたバックドアを心配しなくても、セキュリティがいかに難しいかを示している。
「このアプローチに対する最も説得力のある反論の一つは、私が他の同僚と共に主張してきたように、バックドアを安全に構築する方法が私たちには分からないということだと、私は常に感じてきました」と、マシュー・グリーン教授は研究論文の結果をまとめた最近のブログ記事で述べています。「しかし最近、この立場は不十分だと考えるようになりました。つまり、あまりにも楽観的すぎるということです。実際のところ、バックドアなど忘れてください。暗号化を機能させる方法さえほとんど分かっていないのです」とグリーン教授は付け加えました。
iMessageのエンドツーエンド暗号化に疑問符
発見された脆弱性により、より高度な攻撃者であればiMessageから画像や動画の添付ファイルを解読することが可能になります。この攻撃は、証明書ピンニングのおかげで最近のiOSデバイスではより困難になっていますが、Appleのサーバーにアクセスできる人物であれば、依然としてこれらの添付ファイルを傍受して解読することが可能です。エンドツーエンドの暗号化はサーバーハッキングの影響を受けないはずであるため、現時点ではiMessageの「エンドツーエンド暗号化」という利点に疑問が生じています。
グリーン氏は、2011年当時、ほとんどの人がまだSMSや完全に暗号化されていないメッセンジャーを使っていた時代に、エンドツーエンドの暗号化に少しでも近づいた、広く利用されている最初のメッセンジャーとしてiMessageを称賛しました。しかし、iMessageは常に中央集権型の鍵サーバーを使用しており、これは大きな弱点であり、エンドツーエンドの暗号化サービスでは一般的ではない「機能」です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
グリーン氏は、これはiMessageの重大な弱点であり続けるものの、鍵サーバーへの攻撃は、Appleのインフラを摘発されることなく積極的に操作する能力を得ることを意味すると考えている。これは、主要な情報機関にとっては不可能ではないかもしれないが、それでも非常に困難だ。また、これを実行した者は、リアルタイムの通信しか傍受できず、既に暗号化された通信は傍受できないだろう。
この問題は(エンドツーエンドで暗号化されたメッセンジャーではそもそもこのような問題は発生しないはずなのに)非常に大きな問題となり得ますが、攻撃者が既に送信されたメッセージも取得できる場合、さらに深刻な問題となります。そして、グリーン氏と彼の学生たちは、まさにそれが可能であることを発見しました。
新しい攻撃がなぜ機能するのか
この攻撃が成功するのは、Appleがメッセージを認証していないため、改ざんが可能になっているためだと思われます。AppleはECDSA署名のみを使用していますが、Appleのプッシュ通知サービスサーバーにアクセスできる中間者攻撃者によって傍受・書き換えられる可能性があります。
暗号化されたメッセージは認証されていないため、攻撃者は暗号化された本文の内容を変更してメッセージを変更することができ、それらの対応する変更を通じて元のメッセージが何であったかを知ることができます。
グリーン氏のチームはこの攻撃が添付ファイルに対して有効であることを発見したが、適切なサイドチャネル攻撃が発見されれば、通常のメッセージに対しても有効でない理由はないと彼は述べた。
Appleの唯一の真の解決策は短期的なもの
iOS 9.0の証明書ピンニング機能は、iMessageの暗号文の復元を困難にすることで脆弱性を軽減しますが、真の解決策ではありません。プッシュ通知サービスサーバーに脆弱性があれば、これらのメッセージがすべて公開される可能性があります。さらに悪いことに、Appleは未配信メッセージを最大30日間保存するため、攻撃者がメッセージを入手する機会が長くなります。
グリーン氏の教え子の一人であるイアン・ミアーズ氏(匿名仮想通貨ゼロコインとゼロキャッシュの開発にも携わった)は、この攻撃に対する短期的な解決策を提案した。AES暗号文の中で改ざんの影響を受けない唯一の部分はRSA-OAEP部分であり、これを利用して最近受信したRSA暗号文のキャッシュを作成し、同じ暗号文(攻撃者が元のメッセージを解読するために送信するようなものなど)を拒否することができる。
グリーン教授は、今回の修正は現時点では十分だが、根本的に欠陥のある暗号システムに対する修正としては、結局のところかなり弱いものだと述べた。教授は、Appleは現在のiMessageの暗号化技術をできるだけ早く廃止し、Signal、Silent Phone、Whatsapp、ChatSecureなどで既に使用されている最先端のプロトコルを採用すべきだと提案した。
「長期的には、AppleはiMessageをあっさりと放棄し、Signal/Axolotlに移行するべきだ」とグリーン氏は語った。
それが実現するまでは、短期的な RSA キャッシュ修正は iOS 9.3 と Mac OS X で行われ、すべての Apple 顧客はデバイスをこれらの最新のオペレーティング システム バージョンに更新することが推奨されます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
