AppleのiMessageは、エンドツーエンド暗号化を採用した最初の主流チャットアプリケーションとして長らく称賛されてきました。しかし、ジョンズ・ホプキンス大学の暗号学教授マシュー・グリーン氏と彼の学生チームは、iMessageの暗号化が実際には通常のTLSネットワーク暗号化とほとんど変わらないことを発見しました。
iMessage攻撃
今年初め、グリーン氏はiMessageのセキュリティアーキテクチャの概要を説明した後、iMessageのエンドツーエンド暗号化は根本的に欠陥があると結論づけました。また、Appleに対し、Signalプロトコルなど、iMessageのプロトコルに代わる最新のプロトコルへの移行を推奨しました。
今週開催されたUsenixセキュリティシンポジウムで、グリーン教授率いるチームはiMessageプロトコルとそれに対する潜在的な攻撃について、より徹底的な分析を発表しました。研究チームはこれらの脆弱性を発見するために、AppleのiMessageクライアントをリバースエンジニアリングする必要がありました。AppleはiMessageに関するドキュメントをプロトコルの高レベルな概要以外にほとんど提供しておらず、クライアントアプリはクローズドソースです。
研究者らは、送信側または受信側のデバイスがオンライン状態であれば、特定のiMessageペイロードと添付ファイルを復号できる実用的な適応型選択暗号文攻撃を特定しました。この攻撃をテストするために、研究チームは概念実証用のエクスプロイトも作成し、この攻撃がiMessageユーザーに対してリモートから、かつ密かに実行可能であることを示しました。
研究者らは、gzip圧縮データを含む暗号文に対する選択暗号文攻撃を作成するために、新たなエクスプロイト技術を用いる必要があったと指摘しています。彼らは、この種の攻撃は他の暗号化プロトコルにも利用できる可能性があると考えています。研究者らが論文でより詳細に説明したこの種の攻撃が、他のチャットアプリケーションプロバイダーにとって、自社のアプリにも利用できるかどうか検証する良い機会と言えるでしょう。
iMessageの最大の弱点
ジョンズ・ホプキンス大学の研究者らが説明した攻撃は遡及的であり、攻撃者はすでに暗号化されたメッセージを復号できることを意味します。Appleが未配信メッセージ(最大30日間)とiCloudにバックアップされたメッセージの両方をサーバーに保存していなければ、これはそれほど大きな問題にはならなかったかもしれません。しかし、Appleがそうしているため、高度な攻撃者はこのような攻撃を駆使してそれらのメッセージにアクセスできてしまいます。
また、Apple自身がiCloudバックアップを復号できるため、裁判所命令によってメッセージが復号される可能性も生じます。その場合、ユーザーはiCloudバックアップを無効にすることができますが、iMessageのバックアップは個別に有効化または無効化できないため、他のファイルのiCloudバックアップも無効にする必要があります。しかし、iCloud同期を無効にしても、未配信メッセージが30日間保存されるという問題は依然として残ります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
グリーン氏のチームはまた、攻撃者が証明書を盗み、証明書ピン留めに対応していない特定のバージョンのiOSおよびmacOSでiMessageを復号化できる可能性があると警告した。研究者たちは、世界中でiMessageがどれだけのユーザーによって利用されているか、そしてAppleのデバイスやサービスが各国政府から注目されていることを考えると、この種の脅威は現実的であると考えている。
前方秘匿性の欠如
エドワード・スノーデンがNSA文書を公開して以来、「フォワード・シークレシー」と呼ばれる暗号化メカニズムが、サービスプロバイダーの間で急速に人気を博しています。このメカニズムは、基本的に暗号化キーを定期的に自動的にローテーションさせるもので、新しいキーに切り替わると、過去のデータは復号できなくなります。
これはオフ・ザ・レコード(OTR)やSignalといったエンドツーエンド暗号化プロトコルの主要な機能ですが、グリーン氏によると、iMessageにはそれが全く欠けているとのこと。前方秘匿性が欠如しているということは、誰かがiOSまたはmacOSデバイスを盗んでロックを解除した場合、それらのデバイスで過去の会話を解読できることを意味します。
研究者らはまた、Appleが非標準的な暗号化を使用している点を批判し、その実装はかなり場当たり的であるように思われる。さらに、Appleは適切に認証された対称暗号化アルゴリズムを使用しておらず、改ざん防止のためにデジタル署名に依存している。これが、一部のメッセージの内容を完全に復元できる選択暗号文攻撃を可能にしているのだ。
iMessageの緩和策
グリーン氏は改めて、AppleがiMessageを、適切に設計・検証された新しいメッセージングシステムに完全に置き換えることを推奨した。しかし、たとえAppleが新しいメッセージングアプリを開発しても、iMessageを使い続ける何億人ものユーザーのために、Appleは何らかの下位互換性を維持する必要があることをグリーン氏は認識している。
そのため、彼と彼のチームは、古い iMessage クライアントのセキュリティを少し強化できる iMessage の「短期的なパッチ」と、古いクライアントとの iMessage の互換性をなくす長期的なパッチもいくつか提案しました。
古いクライアント向けの短期パッチには次のものが含まれます。
- 重複したRSA暗号文の検出。つまり、Appleは以前に受信したRSA暗号文のリストを保持する必要がある。
- 暗号化キーの再生成とメッセージログの破棄
- Apple プッシュ通知サービスデーモンとメッセージの証明書をピン留めする
- グリーン氏が論文で述べているようなタイプの攻撃をブロックできるようにメッセージレイアウトを再編成する
この論文で提案された長期的な変化には次のようなものがあります。
- iMessageの暗号化をOTRやSignalなどのよく研究された構造に完全に置き換える
- TLSトラフィックにAES-GCM認証暗号化を採用
- ダウングレード攻撃を防ぐために、プロトコルのバージョン情報を公開鍵ブロックと暗号文の認証部分に配置します。
- キーの透明性を実装する(Appleの集中型キーサーバーはiMessageプロトコルの大きな弱点です)
研究者らは、これらの脆弱性をすべてAppleに報告しており、Appleは重複RSA暗号文の検出や証明書ピンニング(iOS 9以降のクライアントのみ)といった提案された短期的なパッチのほとんどを既に実装し、gzip圧縮も削除したと述べています。しかし、グリーン氏と彼のチームは、Appleは最終的にiMessageプロトコルの大幅な見直しを行い、同時に彼らの提案する長期的な変更も実施すべきだと強調しました。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
