スマートフォンのロック解除および証拠収集ツール「Graykey」の詳細な機能が初めて明らかになった。404 Mediaが入手した機密文書によると、最新のiOS 18およびiOS 18.0.1を搭載したiPhoneに対して「部分的な」データアクセスしかできないことが判明。これは法執行機関が使用する重要なデジタルフォレンジックツールの現状を示す貴重な証拠となっている。
流出文書が明かすGraykeyの現状
Magnet Forensicsが買収したGrayshiftが開発したGraykeyの機密文書は、これまで明らかにされてこなかった同製品の具体的な能力を詳細に示している。この流出は、フォレンジックツール業界の主要企業であるCellebriteが同様の情報漏洩に直面していたものの、Grayshiftにとっては前例のない事態となった。
現行モデルに対する解析能力については、2023年9月16日に一般公開されたiOS 18、および10月3日にリリースされたiOS 18.0.1を搭載したiPhone 12からiPhone 16シリーズまでの機種において、「部分的な」データ取得が可能であることが判明している。ただし、この「部分的」という表現が指す具体的な範囲について、Magnetは詳細なコメントを控えている。2018年のForbesの報道によれば、部分的な抽出で取得できるのは、暗号化されていないファイルやファイルサイズ、フォルダ構造などのメタデータに限定されるとされている。
特に注目すべきは、iOS 18.1のベータ版に対するGraykeyの完全な機能不全である。文書では、現行のiPhoneモデルすべてにおいて、iOS 18.1ベータ版からのデータ取得は「なし(None)」と明記されている。この状況については二つの解釈が可能だ。一つは、文書作成時点でMagnetの研究者たちがiOS 18.1への攻撃手法の開発に着手していなかった可能性、もう一つは、iOS 18.1で実装された新たなセキュリティ機能が、既存の解析手法を完全に無効化した可能性である。
この状況を裏付けるように、10月に行われたCNBCのインタビューでAppleのCEOであるTim Cookは、iOS 18.1の採用率がiOS 17.1と比較して「2倍の速さ」で進んでいると述べている。この急速な普及は、新バージョンが提供する改善されたセキュリティ機能への期待の表れとも解釈できる。
Android端末への対応状況
Graykeyのデジタルフォレンジック能力は、Android端末に対してより複雑な様相を呈していることが、今回流出した文書から明らかになった。この複雑性は、Androidエコシステムの特徴である製造元の多様性に起因している。AppleのiOSデバイスが単一の製造元による統制された環境下にあるのとは対照的に、Android端末は複数の企業が独自の実装を行っているため、解析ツールの対応はより困難な状況にある。
特にGoogleが展開する最新のPixelシリーズについては、興味深い制限が確認されている。2023年8月にリリースされたPixel 9を含む最新モデルにおいて、Graykeyは「After First Unlock(AFU)」と呼ばれる特定の状態でのみ、部分的なデータ取得が可能となっている。AFU状態とは、デバイスの電源投入後に少なくとも1回はユーザーによってロック解除された状態を指す。この制限は、端末のセキュリティ機構が初回のロック解除前は特に強固な保護を実施していることを示唆している。
この状況について、デジタルフォレンジック企業Garrett DiscoveryのCEO、Andrew Garrett氏は具体的な見解を示している。同社は年間500件を超える刑事弁護案件でスマートフォンから抽出された証拠を扱っており、流出文書に記載された機能一覧はGrayKeyの実際の能力と完全に一致していると証言している。この証言は、特にAndroid端末に対するGraykeyの限定的な能力を裏付ける重要な第三者検証となっている。
Xenospectrum’s Take
この流出は、スマートフォンセキュリティの現状を如実に物語っている。特にAppleのセキュリティ強化への取り組みが、フォレンジックツールメーカーを着実に追い込んでいることが見て取れる。2018年のUSB制限モードの導入から、最近のiOS 18での非アクティブ時の自動再起動機能まで、Appleは一貫して法執行機関のアクセスを制限する方向に動いている。しかし、この「いたちごっこ」は決して終わらないだろう。
Source
コメント