無縫地帯

iPhoneで格安のパスワード突破サービスが提供されて騒ぎが起きています

iPhoneのロック機能を安値で解除すると標榜するサービスが発表され、それをアメリカ国務省が購入したということで騒ぎになっていますが、Apple側の対策はどう打たれるのでしょうか。

iPhone関連でちょっと興味深い話がありました。

1台たった5000円でiPhoneのロックを解除するサービスをアメリカ国務省が購入した(GIGAZINE 18/3/26)

iPhone XやiPhone 8などを含むiPhoneを1台あたり50ドル(約5200円)でロック解除するとうたう激安のロック解除システム「GrayKey」を、アメリカ国務省が購入したとMotherboardが報じています。
(中略)
かつてiPhoneのロックを解除するためにFBIはイスラエルのCellebriteに90万ドル(約1億円)を支払ったことが明らかになっています。これに比べると1台あたり約5000円のGrayKeyは激安と言え、iPhoneロック業界の価格競争を激化させる可能性があるとMotherboardは指摘しています。GIGAZINE
なんと過去に1億円だった料金が一気に5000円になったというのは猛烈な価格破壊感があります。もっとも実際には、誰でも5000円でロックを解除できるわけではなく、以下のような料金システムの中で1台あたりの作業手数料が約5000円相当であるということですが、それでもインパクトのある話です。

GrayKeyは専用マシンを使う無制限プランは3万ドル(約310万円)ですが、300台までの端末を1万5000ドル(約160万円)で解除できるオンラインプランも用意されており、この場合、1台あたり50ドル(約5200円)でiPhoneのロック解除が可能になります。GIGAZINE
事実であるならば、さすがにこれは抜き差しならない状況です。

Appleは当然こうしたハッキングに対してセキュリティ強化を図ってくるでしょうから、いつまでこのロック解除システムが有効であるのかは分かりませんが、当然ながら世界中の様々な方面から引き合いがありそうです。適法な捜査機関であっても問題視されそうな事案なのに、もしもこれが窃盗団ほか犯罪組織に技術が渡り、なりすましで利活用されたら大変な騒ぎになってしまいます。

なお、このiPhoneのロック解除、一見すると単純なPIN番号で強引に総当たりすれば解けそうですが、さすがにApple側もそうしたブルートフォース対策は一応取り入れており、不正なパスコードの入力が繰り返されると再び入力できるまでの時間が自動的に制限されるといった保護機能が用意されています。その仕組みが動作すると以下のような悲劇も起きるみたいですね。

iPhoneが「47年間」ロック解除できなくなった女性(iPhone Mania 18/3/7)

中国・上海在住の女性の2歳の息子が、iPhoneに繰り返し間違ったパスコードを入力し続けた結果、47.5年間に相当する時間、ロック解除できなくなってしまいました。
(中略)
女性が上海のApple Storeに問い合わせたところ、47.5年間待つか、中身をすべて消去してインストールし直すしかないとアドバイスされました。
iPnone Mania
で、さすがに47.5年というのはおかしいだろうというネット民の指摘もありまして、少し昔の情報では以下のような話もありました。

「42.5年後にもう一度試してください」iPodのパスコードロックを間違えまくった強者現る!!(Puti Developers Blog 12/7/18)

とくに興味深いのはこの記事に対するコメント欄でのやりとりでして、実際にパスコード入力を何度も失敗して40数年後までロックされている強者が数人登場しております。また、時刻表示にまつわるバグのようなものではないかという示唆もあり、なるほどという感じです。

いずれにしても、パスコード入力を何度も故意に間違えるとそれなりの不具合が生じる可能性は高そうなのであまり真似したくないものです。ちなみにパスコード入力を何度か誤った結果、操作に支障が出た場合のApple公式の回避方法は以下のとおりです。

iPhone、iPad、iPod touch のパスコードを忘れた場合や、デバイスを使用できないというメッセージが表示された場合(Appleサポート)

iOS デバイスにパスコードを 6 回続けて間違えて入力した場合、ロックアウトされ、デバイスを使用できないというメッセージが表示されます。この記事では、こうした場合の対処法をご説明します。Appleサポート
いずれにしても、従来に比べればかなり安価にiPhoneのロックを解除する手法が登場したということは事実なようなので、Appleとしても近々なんらかのセキュリティ強化を図ってくるのではないかと思われます。
もっとも、ここまでやっておいて、チップセットにバックドアが仕込まれているのではないかとか、バックグラウンドで動いているシステムを通じて何か細工ができるはずだといった陰謀論も巻き起こっているようですが、きちんとパスワードは自衛して守れるようにしておきましょう。

日本もようやく……「パスワードの定期変更は危険」を報じた日経の記事が大きな話題に【やじうまWatch】(INTERNET Watch 18/3/28)

なお、蛇足ですが日本でもようやく「パスワードの定期変更は不要であるばかりか危険」という話が公式に周知され始め、この方面の論争もひと段落つきそうです。むしろ、堅牢なパスワードをしっかり管理し続けるほうが大事だってことは、そろそろちゃんと知られて良いのではないかと思いました。