Appleはかつて、OSのセキュリティにほとんど力を入れていなかった。幸いにも、それはそれほど大きな問題ではなかった。
セキュリティの世界に長く身を置くと、それがテクノロジーではなく、経済と人間の行動によって定義づけられていることに気づきます。私が2006年に初めてAppleについて書き始めた頃、Appleには優秀なセキュリティチームがありましたが、多くのリソースを投入していませんでした。セキュリティ上の損失を被っていないのに、セキュリティに多額の費用をかけるのは正当化しにくいのです。
マイクロソフトに聞いてみてください。Windowsがコンピュータ業界を席巻していたにもかかわらず、同社は長年セキュリティへの投資を怠ってきました。ところが、悪意ある攻撃者が現れ、2001年にはWindowsベースのPCを攻撃から守ることがほぼ不可能になりました。大手銀行や米国政府といったマイクロソフトの主要顧客は、セキュリティ対策の導入費用とセキュリティ侵害への対策費用が急騰する中、他の製品(何でもいいから!)に移行すると脅しました。その結果、2002年に「Trustworthy Computing Initiative(信頼できるコンピューティング・イニシアチブ)」が誕生しました。現在、マイクロソフトは業界で最も強力なセキュリティプログラムを有しています。
Appleは、ほぼ先見の明があったかのような一連の動きによって、携帯機器市場を席巻し、パーソナルコンピュータ市場でもシェアを拡大しながら、この危機を回避しました。AppleはMicrosoftの初期の失敗から正しい教訓を学び、その結果、iOSマルウェア(存在するマルウェアのほとんどはジェイルブレイクされたデバイスを標的としています)やMacマルウェアの大規模な流行は発生していません。つまり、特にiOSに関しては、犯罪者が攻撃エコシステムを構築する前に、Appleは早期にセキュリティ対策を講じたのです。
しかし、未来はクラウドにあります。そしてAppleの未来はiCloudです。iCloudは、デバイス、ソフトウェア、そしてサービスからなるエコシステム全体を結びつけるオンラインの接着剤です。私は勤務時間のほとんどをクラウドセキュリティに費やしていますが、これは言葉では言い表せないほど難しい問題であり、これらのサービスの利用が増えるにつれて悪化するばかりです。Appleは、他の主要なクラウドプロバイダーと同様に、今や銀行と同じセキュリティ問題に直面しています(ウィリー・サットンの「お金はそこにある」というセリフを思い出してください)。
どの銀行にセキュリティについて相談しても、皆が顧客口座に問題があると指摘するでしょう。
水中の餌— 「セレブのヌード」という言葉ほど注目を集めるものはほとんどありません。「水中の餌」という言葉だけでは、結果として生じるメディアの猛攻撃を言い表すことすらできません。世界で最も人気のあるテクノロジーブランドが、数年ぶりの大型新製品発表(しかもその発表には主要な新金融サービスも含まれていました)の数週間前にスケジュールに入れられたとしたら、それは一種のPR悪夢と言えるでしょう。
もうご存知の通り、この話は皆さんご存知でしょう。レイバーデーの週末、約100人のセレブのヌード写真がインターネット上に流れました。その数日後には、ほとんどのクラウドサービスが制限している(そしてAppleもすぐにブロックした)ブルートフォース攻撃手法を使ってiCloudを直接攻撃する新しいツールがリリースされていたため、iCloudのバックアップか写真が流出元ではないかという憶測が飛び交いました。
真実はそれほど劇的ではなかったものの、やはり不穏なものでした。48時間以内にAppleは、iCloud全体がハッキングされたわけではなく、ブルートフォース攻撃が攻撃の媒介となったわけでもないと発表しました。実際には、個々の著名人が意図的に標的とされ、写真が盗まれました。おそらくiCloudに保存されたiOSバックアップから盗まれたのでしょう。犯行は長期間にわたって行われたと思われ、写真はすべてiCloudからのものだったわけではありません。
40時間を超える調査の結果、一部の著名人のアカウントが、ユーザー名、パスワード、セキュリティ質問を狙った非常に標的を絞った攻撃によって侵害されたことが判明しました。これはインターネット上で蔓延している手口です。調査した事例のいずれも、iCloud®や「iPhoneを探す」を含むAppleのシステムへの侵入に起因するものではありませんでした。私たちは引き続き法執行機関と協力し、関与した犯罪者の特定に取り組んでいます。
この種の攻撃から保護するために、すべてのユーザーに、常に強力なパスワードを使用し、2 段階認証を有効にすることをお勧めします。
iCloudはハッキングされなかったものの、実際にはハッキングされました。犯罪者はサービスの根本的な脆弱性を悪用するのではなく、有名ユーザーを標的に一連のアカウント乗っ取りを実行しました。パスワードやパスワード回復用の質問を解読し、最初に取得した情報に基づいてフィッシング手法を用いて被害者の友人や同僚を誘い込んだと推測されます。iCloudの認証情報を入手し、ハッキングツールを使用してiCloudバックアップのコピーをダウンロードすることで、Appleの通常の新規デバイス通知(主にメッセージとFaceTimeで使用)や、購入とApple IDのコア変更のみを保護する2要素認証さえも回避しました。
Appleは窮地に陥りました。これはiCloudに限った問題ではなく、Appleは事実上、アカウントの保護が不十分だったとして顧客の責任を転嫁しました。そしてAppleは、当時は攻撃を阻止できなかったであろう2要素認証という解決策を提案しました(当時はiCloudのログインやバックアップには適用されていませんでした)。これは痛恨の極みです。
公平を期すならば、アカウント乗っ取りがインターネット上であまりにも頻繁に発生する問題であるというAppleの指摘は正しかった。しかし、二要素認証で保護されるサービスを限定したり、パスワード回復用の質問に頼ったり(特に著名人の場合、これは容易に回避できることで有名)、サーバー側で異常なアクティビティを検知しなかったりといったAppleの判断は、攻撃者の攻撃を容易にする結果となった。
iCloud は全体的には侵害を受けていませんでしたが、Apple が最善を尽くしたとは言えません。たとえApple がもっと対策を講じていたとしても、これほど執拗な攻撃を防げたという保証はありません。アカウント乗っ取りは非常に深刻で、完全に排除することは不可能であり、クラウドコンピューティングへの依存度が高まっていく中で、おそらく最大の課題と言えるでしょう。
パスワードが「ゴーディアン」に等しい— 本人確認は複雑な問題です。特に、本人確認という概念自体が儚いものであるためです。よくある名前を持つ友人に聞いてみてください。例えば、私たちのマイケル・コーエン(彼はここに挙げた人物のいずれにも該当しません)です。デジタルの世界では、本人確認よりも認証、つまり特定のアカウントに関連付けられた本人であることをコンピューターに証明することの方が重要です。
この認証は、あなたが知っている情報(パスワード)、あなたが持っている情報(スマートカードなどのデジタルトークンやiPhoneアプリのコード)、またはあなたの特徴(指紋)に基づいて行われます。これらの情報をチェックするほど、認証は強力になります。
パスワードは、認証要素の 1 つとしてほぼ常に使用されます。トークンはコストがかかり、紛失しやすいです。指紋などの生体認証要素は、深刻なプライバシーの問題を引き起こし、信頼性を持って扱うのが困難です。トークンも指紋も、リモート サービスへのログインには適していません。各ユーザーが独自のリーダーを必要とするためです。すべての Web サイトにログインするためにクレジットカードをスワイプする必要があることを想像してみてください。これらのシステムの複雑さは、大規模になると、現在の技術的および社会的制約ではほぼ克服できません。カードは誰が提供しますか? 指紋テンプレートは誰が管理しますか? これらはすべてどのように伝達されますか? 多くの場合、トークンと指紋はパスワードよりも安全性が低いため、主要な要素ではなく、 2 番目の要素として使用される傾向があります
。
パスワードへの依存を減らすことは不可能な問題ではないかもしれませんが、解決にはまだ遠い道のりです。
問題をさらに複雑にしているのは、アカウントの所有権と復旧の問題です。パスワードは忘れます。スマートカードを紛失します。指紋は変化します。こうした事実によってアカウントへのアクセスが制限されることは許されません。そこで、復旧メカニズムを追加します。ユーザーにメモして安全に保管するよう指示する、より強力な別のパスワードを設定することもありますが、書き留めて保管したものは、定義上、安全ではありません。あるいは、アカウント所有者だけが答えられることを願うセキュリティ質問を設定しても、ハッキングされた有名人のように、記憶に残るためには、見つけられる必要があるかもしれません。
Appleの課題— Apple、Google、そしてその他のクラウドプロバイダーは、今や私たちの生活における最もプライベートで重要な側面の多くを管理しています。私たちは彼らに、驚くほど多様な情報を託しており、その情報には場合によっては直接的な金銭的価値が伴います。彼らは事実上、銀行なのです。
銀行のセキュリティ確保は容易ではありません。アカウント乗っ取りは依然として定期的に発生していますが、私の経験からすると、ほとんどのオンラインサービスに比べると発生率ははるかに低いと言えます。銀行は「リスクベース認証」「ユーザー行動分析」「不正防止分析」といった名称のセキュリティツールを幅広く導入しています。これらのツールは多くのアカウント乗っ取りの試みを捕捉しますが、全てを捕捉できるわけではありません。金融機関は、他のどの垂直市場よりもセキュリティ対策に多額の費用を費やしています。
有名人の写真盗難事件後、Appleに対する批判の中には正当なものもあった。ブルートフォース攻撃ツールの有効性(たとえそれらの攻撃では使用されていなかったとしても)から判断すると、Appleの規模と重要性に見合うクラウドプロバイダーとして期待される検出・分析技術をAppleが活用していたようには見えなかった。二要素認証(パスワードと携帯電話に送信されるコードの組み合わせ)はほとんどのiCloudサービスに適用されておらず、設定も驚くほど複雑だった。また、Appleは、誰かがアカウントにアクセスしてデータを復元したことを顧客に知らせるアクティビティ通知も送信していなかった。
ブルートフォース攻撃の攻撃経路を見逃したことを除けば、Appleのセキュリティチームはこれらの決定のほとんどに責任を負わない可能性が高い。業界最高峰のセキュリティチームの一つではあるが、軽視できない他の考慮事項によって制約されていたことは明らかだ。ユーザーへの通知をあまりにも多く送ると、すぐに意味を失ってしまう。二要素認証をあまりにも頻繁に要求すると、ユーザーは反発するだろう。とはいえ、これらの懸念は事件以前から私自身が抱いていたものだった。パスワードをどれだけ強力にしても、アカウント乗っ取りの危険にさらされる可能性があると常に懸念していた。一部のデバイスではiCloudバックアップさえ使っていない。
多くの批判や提案された解決策はナイーブでした。多くのライターが二要素認証の義務化を提案しました。私のように複数のiPhoneとiPadを持ち、信頼できる妻もいる人間にとっては問題ありません。しかし、iPhoneが1台しかなく、アカウントを復旧できる信頼できる人が誰もいない場合はどうでしょうか?メールのパスワードリセットも選択肢の一つですが、関連付けられたメールアカウントが不正アクセスされたり、紛失したデバイスからしかアクセスできなかったりしたらどうなるでしょうか?IDを持ってAppleストアに行く必要があるでしょうか?都会の住民にとっては問題ないかもしれませんが、大勢の人々にとっては大きな不便です。
Apple製品は数億人の顧客が利用しています。iCloudの数字は分かりませんが、週末に1,000万台のiPhoneを販売した企業の話です。数百万人のユーザーが利用している周辺状況では、セキュリティの複雑さは飛躍的に増大します。Appleがこれほどの規模で事業を展開するとなると、ルールも変わってきます。
行動分析(ビッグデータと自動分析によって通常の行動からの逸脱を特定する)でさえ、ある時点で機能しなくなります。例えば、10日間で10カ国からプレスカンファレンスに参加する著名人の場合、彼らはほとんどのアカウントへの攻撃を検出できるルールから除外されていた可能性が高いでしょう。
したがって、Apple は社会における最も複雑なセキュリティ課題の 1 つに直面しており、その課題はほんの一握りの企業だけが考慮する必要がある規模で発生しています。
オールイン— Appleは、そのデザインと技術リソースを駆使して、困難なセキュリティ問題に十分対応できる能力を備えています。Touch IDは指紋認証技術の見事な実装です。Appleは他の追随を許さないアプローチでこの問題に取り組み、複雑な問題を簡素化することで、プライバシーを侵害することなく、使いやすさとセキュリティの両方を向上させました。メッセージ、FaceTime、iCloudキーチェーンはすべて、一般ユーザーにはほぼ透過的な独創的な暗号化技術を活用しながら、セキュリティへの懸念が高いユーザー向けに、より複雑なオプションも提供しています。Gatekeeperは、Macマルウェア市場が拡大する前に、その可能性を効果的に遮断しました。Apple Payは、
これまでに実装された決済システムの中でも、最も安全でシンプルなものの一つと言えるでしょう。
これらをAppleの二要素認証の実装と比較してみましょう。Appleの二要素認証は他社と比べて優れているわけではなく、最近までかなり劣っていました。これは、洗練された解決策を切実に必要とする、非常に難しい問題の一つです。認証とアカウント所有権に関するAppleの対応は、Touch IDのような問題の再考を必要としています。そして、誤解のないよう言っておきますが、Appleがこの問題に取り組む最初の企業ではありません。
Appleは、有名人の写真盗難事件への初期対応で、最も重大な欠陥を解消しました。2要素認証を有効にすると、iCloudに関連するすべての情報が保護されるようになりました。2要素認証は、ユーザー名とパスワードのみに依存するサードパーティ製ソフトウェアを無効化するため、Appleはアカウント全体を公開することなく、安全なアプリケーション固有のパスワードを作成する機能も追加しました。アプリケーション固有のパスワードは、いわばハックのようなもので、他のほとんどの消費者向けクラウドプロバイダーはOAuthと呼ばれる標準規格を採用しています。しかし、OAuthに直接移行すると、開発者が追いつくまですべてが機能しなくなります。しかし、Appleは
いずれこれを必要とするでしょう。
Appleは、ログインやアカウントの変更に関する通知も増やしています。これは確かに便利ですが、iOS 8で新たに追加されたデバイスレベルのプライバシー通知などにより、Windows Vistaレベルの通知になりつつあります。
Appleがサーバー側で何をしているのかは不明であり、おそらく今後も分からないでしょう。同社は銀行が使用しているのと同様の技術を幅広く利用している可能性があります。ただし、Appleがリスクベース認証を使用していないことは分かっています。リスクベース認証は、銀行が信頼できるコンピュータからログインしたかどうかを時折確認する技術です。これが唯一の欠陥だとは思えません。
クラウドセキュリティに関する企業へのアドバイスで生計を立てている私としては、Appleに何をすべきかを指図するつもりはありません。しかし、Appleの今後のクラウドセキュリティへの取り組みについては、2つの基本的な事実があると考えています。
- Appleは認証問題に取り組むでしょう。おそらく複数の角度からアプローチし、複雑な状況を簡素化することに重点を置くでしょう。Appleのような規模で機能する単一のアプローチはこれまで存在したことがなく、課題は、様々なユーザー層に合わせて幅広い選択肢を簡素化することです。現状、Appleはこの点でせいぜい平均的なレベルです。iCloudがAppleエコシステムの中心となるにつれ、同社は新たな境地を開拓する必要があります。Appleのように国際化、ユーザー数の増加、そして多様な顧客スキルといった問題を抱えている銀行は、ほとんど存在しないと言っても過言ではありません。
- Appleは、あらゆるクラウドセキュリティ対策を駆使し、常に新しいアプローチとテクノロジーを積極的に導入していきます。犯罪者がユーザーアカウントへの侵入方法を常に模索する中で、これはまさに猫とネズミの追いかけっこの論理的な展開と言えるでしょう。Appleは優れたサーバーセキュリティを備えていますが、アカウントセキュリティには異なる考え方とツールが必要です。
少なくとも、Appleがそうしてくれることを願っています。私が最も懸念しているのは、Appleがシステムのエンジニアリングの改善よりも、ユーザーの行動を変えることに注力してしまうことです。ウォール・ストリート・ジャーナルのインタビューで、ティム・クックは次のように述べています。「この恐ろしい事態から一歩引いて、もっと何ができただろうかと考えると、意識向上の部分が重要になります。私たちには、その強化を図る責任があると思います。これはエンジニアリングの問題ではありません。」
セキュリティ専門家としての私の指針は、「人間の行動が変わることを期待してはいけない。決して」です。Appleでさえ、パスワードの必要性をなくしたり、アカウントを保護するためのほぼ完璧な単一の方法を開発したりすることは誰にもできません。何億人ものユーザーが関わる状況では、教育やセキュリティ習慣の改善に頼ることもできません。Appleは間違いなく、これらの攻撃の可能性を減らすためのエンジニアリング上の選択肢を持っており、そしてそれを活用すべきでした。
AppleはApple Watchの初代バージョンの設計に3年を費やしました。同社がパスワードとアカウント乗っ取りという問題に真剣に取り組むのであれば、それが実現することを期待しています。