Apple の最新の主要なモバイル オペレーティング システム リビジョンである iOS 12 がリリースされました。このバージョンでは、iPhone と iPad をより安全に使用できるようにする重要なセキュリティの改善がいくつか行われています。
iOS 12の自動アップデート
多くのセキュリティ専門家は、自動ソフトウェアアップデートは大多数のユーザーとデバイスにとって有益であると考えています(ただし、必ずしもそうでない場合もあります)。最新のiOSバージョンには、ユーザーに煩わされることなく、バックグラウンドでサイレントにダウンロードとインストールを実行する自動ソフトウェアアップデートが搭載されています。
自動アップデートはデフォルトでは有効になっていません。これは、iOSユーザーの大部分に影響を与える可能性のある予期せぬ問題を回避するためだと考えられます。GoogleがNexusおよびPixelデバイスのAndroidアップデートで行ったように、Appleも今後のiOSアップデートでこの機能をデフォルトで有効にする可能性があります。
カスタム数値コード
iOSは当初、4桁のPINしか許可していませんでした。これは長年にわたり総当たり攻撃が容易だったためです。しかし、一定回数ログインに失敗するとデバイスがロックされるようになったため、この問題は大幅に軽減されました。しかし、AppleはiOS 9で6桁のPINを導入しました。これにより総当たり攻撃の難易度は上がりましたが、完全に不可能になったわけではありません。
自動ロックは機能が有効になっている限りは機能しますが、攻撃者がその機能にバグを見つけた場合、おそらく無効化される可能性があります。そうなると、デバイスに対して総当たり攻撃を仕掛けられる可能性が残ります。総当たり攻撃の制限を解除することは、悪名高いサンバーナーディーノ事件においてFBIがAppleに要請したことでもあります。
iOS 12では、Appleは「カスタム数字コード」機能を導入しました。これにより、任意の長さのPINを入力できます。これはPINのセキュリティをさらに強化する便利な追加機能ですが、結局のところ、小文字、大文字、数字、記号を組み合わせた、長くて固有のパスフレーズよりも安全性は劣ります。
さらに、ほとんどの人間は7桁を超える数字を覚えられないことが科学的に証明されています。それに比べると、単語や文章全体を覚えるのははるかに簡単です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
SMS 2FAコードの自動入力
Appleは、テキストメッセージで送信される2段階認証パスコードの自動入力も導入しました。これは、受信したコードを自分で入力する必要がなくなるため、より便利な機能です。GoogleもAndroid 8.0でこの機能を導入し、Play Services APIを通じてAndroid 4.3までバックポートしました。
米国国立標準技術研究所(NIST)は、SMS 2FAコードはもはや安全ではないと判断し、2016年に廃止を勧告しました。Appleが顧客にとってSMS 2FAの利用を容易にすることで、アプリ開発者によるSMS 2FAサポートが増加する可能性がありますが、長期的には良いことかどうかは分かりません。
スマートフォンの設定時に2要素認証(2FA)をオンにするよう求められますが、「設定」>「ユーザー名」>「パスワードとセキュリティ」>「2要素認証をオンにする」から変更することもできます。その後は、画面の指示に従ってください。
新しいパスワードセキュリティ機能
iOS 12 の Safari ブラウザでは、より強力なパスワードが提案されるようになります。これはおそらく、新しい Web サイト アカウントのデフォルトのパスワードがより長く、より一意になることを意味します。
新しいiOSでは、複数のウェブサイトで同じパスワードを使用している場合にも警告が表示されます。パスワードの使い回しは危険です。安全だとわかっているウェブサイトで強力なパスワードを使用していたとしても、同じパスワードを使用している別の安全性の低いウェブサイトからそのパスワードが漏洩する可能性があるからです。
暗号化されたFaceTimeグループビデオチャット
FaceTime チャットや 1 対 1 の音声通話およびビデオ通話はエンドツーエンドで暗号化されるため、メッセージを傍受しようとする悪意のあるハッカーも、Apple 自身もメッセージを読むことはできません (iOS デバイスでデフォルトで設定されている iCloud に自動的にバックアップされない限り)。
Appleは、長年エンドツーエンド暗号化ビデオ通話をサポートしてきたSignalプロトコルなどの既存のプロトコルではなく、独自のエンドツーエンド暗号化プロトコルを使用しています。しかし、iOS 12以降、FaceTimeのグループビデオチャットもエンドツーエンドで暗号化されるようになります。
制限付きUSBモード
iOS 12では、iOSデバイスへの物理的な攻撃に対する保護が大幅に強化されました。デバイスからノートパソコンにデータを転送した後、わずか1時間でLightningポートはデータ接続から充電に切り替わります。この期間は、以前のiOSバージョンでは7日間でしたが、大幅に短縮されました。
唯一の問題は、ロシアのセキュリティ企業Elcomsoftによると、認証をサポートしていない安価なアクセサリはこの制限を回避できるということです。しかし、このハッキングを成功させるには、攻撃者は1時間以内にそのアクセサリを接続する必要があります。
追跡と指紋採取の防止
Safariは数年前からiOS上でサードパーティCookieをブロックしてきました。iOS 12では、Appleはソーシャルメディアの共有ボタンやコメントシステムに対して対策を講じました。これらのシステムは、ユーザーがこれらのサービスのアカウントにサインインしていない場合でも、デフォルトでユーザーを追跡します。今後は、ブラウザがこの種の追跡を検出し、許可またはブロックを選択するプロンプトを表示します。
Appleは、広告会社によるユーザーの「フィンガープリント」をより困難にします。フィンガープリントは、ユーザーのハードウェアとブラウザ設定に関するデータを収集することで行われます。この機能は、macOS MojaveのSafariブラウザにも搭載されます。
自動911位置情報共有
Appleは、全米6,500以上の緊急コールセンターと連携してシステムを更新し、誰かが911に電話すると、その位置情報がコールセンターのオペレーターに自動的に送信されるようにしているRapidSOS社と提携した。
Appleは以前、「HELO」と呼ばれる技術を開発しており、iPhoneユーザーの位置をより正確に特定することができます。この正確な位置情報が緊急通報オペレーターに送信されます。
iOS 12 では、Apple は引き続きセキュリティとプライバシーの保護を最優先に考えており、顧客は同社がオンラインとオフラインの両方で安全性の向上に取り組むことを期待できることを示しています。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
