WIRED / アップル
英国警察は、ロックされたiPhoneのコンテンツにアクセスするための取り組みを強化している。WIREDが入手した財務書類によると、イングランドの少なくとも3つの警察署が、iPhoneに侵入するための新たなハッキング技術に数千ポンドを費やしている。
ランカシャー、ダービーシャー、ノッティンガムシャーの警察官は、米国に拠点を置く企業Grayshiftのシステムのライセンスを購入した。元Appleエンジニアを幹部社員とする同社は2017年末に設立され、Appleの最新OSであるiOS 12まで搭載されているiPhoneのロックを解除できると報じられている。
同社は、iPhoneに差し込むだけでロックを解除できる「GrayKey」と呼ばれる小型のデバイスを販売しています。このデバイスは、Appleのソフトウェアに存在するとされる脆弱性を悪用します。iPhoneのロックが解除されると、メッセージ、写真、アクティビティログなど、デバイス上のあらゆるデータにアクセスできるようになります。GrayKeyはAppleにとって大きな悩みの種であり、AppleはGrayKeyの侵入を阻止するために、自社のiPhoneのセキュリティを強化してきました。
3つの警察署の支出記録には、この技術に対するグレイシフト社への支払いが記録されている。英国の公的機関が同社の技術を購入するのは今回が初めてとみられ、米国の法執行機関の高官からの関心も高まっている。
「警察が実質的に秘密裏にこの機器を購入し、配備するという、より広範なパターンが見受けられます」と、慈善団体プライバシー・インターナショナルの法務担当者、スカーレット・キム氏は述べている。「この技術の侵入性を考えると、一定の基本的な安全対策を導入する必要があるのです。」
ノッティンガムシャー警察の財務書類によると、同警察は6月にGrayKeyの購入に1万1000ポンドを費やした。この技術により、「ロック解除のためにレスターシャーに携帯電話を送る必要性が軽減される」と説明されている。同様に、ダービーシャー警察の月間支出額によると、6月だけでGrayshiftの技術に1万1477.54ポンドを費やしている。ランカシャー警察は若干異なるアプローチを採用し、ハートフォードシャーのサードパーティサプライヤーであるMicro Systemation Limitedから4年間で4万6200ポンドでシステムを購入した。
ノッティンガムシャー警察とダービーシャー警察はともにこの技術を購入したことを認めたが、ランカシャー警察はコメント要請に応じなかった。「デジタル機器のセキュリティを回避することは日常的な業務であり、ノッティンガムシャー警察は複数の異なるサプライヤーから提供される様々なツールと技術を活用しています」と警察の広報担当者は述べ、機器へのアクセスは警察の捜査中に行われていると付け加えた。
「これは犯罪捜査を完了するために用いられる一連のツールの一部です」とダービーシャー警察の広報担当者は付け加えた。警察は「運用上の理由」を理由に、この技術をどのように、いつ使用するかについては詳細を明らかにしなかった。
GrayshiftとそのGrayKeyは、AppleとFBIの暗号技術論争の1年後の2017年に初めて登場しました。Grayshiftは大部分が人目につかないように運営されており、競合他社の製品よりも安価です。このデバイスは2018年3月にForbesで初めて報じられました。同社はiPhoneロック解除技術を2つのモデルで提供していると報じられています。1つは1万5000ドル(約11437ポンド)のライセンスで、約300台のiPhoneのロック解除が可能です。もう1つは2倍の価格で、無制限の数のiPhoneのロック解除が可能なオフライン版です。
グレイシフトの共同創業者であるデイビッド・マイルズ氏は、英国警察が同社の技術を購入していること、システムの仕組み、ハッキング技術を他社に提供しているかどうかといった質問には回答しなかった。マイルズ氏は以前、グレイキーを使ってiPhoneを簡単にロック解除できる様子を実演している。同社は、アップルの技術を回避するために利用しているセキュリティ上の脆弱性については言及していない。
続きを読む: Chromeに飽きた?iOSとAndroidのおすすめ代替アプリ
iPhoneとiPad向けOSの最新バージョンであるiOS 12で、AppleはiPhoneのハッキング技術を阻止するための新機能を導入しました。Motherboardが最初に報じたように、 USB制限モードでは、iPhoneにケーブルが接続されている際にパスワードの入力が求められます。Grayshiftはどうやらこれを回避する方法を見つけたようです。
「グレイシフト社が製造するようなデバイスは、技術力に乏しい法執行機関でもデータへのアクセスを可能にします。そして、ほとんどの場合、これは良いことです」と、マルウェアバイツのシニアセキュリティ研究者、ジャン=フィリップ・タガート氏は述べている。タガート氏によると、暗号化された携帯電話上の証拠にアクセスできることは警察にとって大きな問題であり、多くの警察はデータにアクセスするための専門知識を欠いているという。「暗号化された携帯電話へのアクセスを可能にする技術は、悪用される可能性があるため、問題となっています」と彼は付け加えた。
グレーシフトは、電話ハッキング技術を販売している唯一の企業ではありません。イスラエルの企業セルブライトも市場をリードしており、iPhone Xまでのあらゆる機種のロックを解除できると主張しています。報道によると、米国務省、麻薬取締局(DEA)、その他の警察機関がグレーシフトのグレーキーを購入していることが明らかになっています。FBIもこの技術に興味を示しているとされています。
プライバシー・インターナショナルの調査によると、英国の警察の半数以上が携帯電話からデータを取得する技術を利用していることが明らかになりました。この技術には、警察官が携帯電話のロックを解除できるセルフサービス・キオスク、複数の警察署にサービスを提供するハブ、遠隔操作可能なシステムなどが含まれます。
「プライバシー・インターナショナルは、携帯電話の没収権限の行使に関して、いかなる種類の保証や記録保存も行われず、独立した監視も行われていないことが、濫用や差別的慣行の深刻なリスクを生み出していると考えている」と同組織の報告書は結論づけている。
キム氏は、個人の携帯電話からどれだけのデータが引き出せるかを考えると、そのような技術を使用する前に何らかの司法承認が必要だと述べている。「国民は何も知らない」とキム氏は言う。彼女は、米国のいくつかの州で可決された新しい法律を例に挙げ、当局がどのような監視技術を使用・購入しているかを公表することを義務付けている。
この記事はWIRED UKで最初に公開されました。
