AppleのiCloudは長年、写真、ドキュメント、アプリケーションのバックアップなど、デバイスデータをバックアップ・保存するための主要なプラットフォームとして機能してきました。これらのバックアップには機密情報が含まれる場合があるため、その安全性について疑問を抱く人は少なくありません。2014年には、数百人の著名人の個人写真がiCloudアカウントから盗まれ、一般に流出するという大きなスキャンダルが発生しました。この情報漏洩の原因調査により、アカウント保護の脆弱性が明らかになりました。当時は、悪意のある人物がユーザーのApple IDとパスワードのみを使用してアカウントにアクセスすることができました。
Appleはこの教訓を活かし、その後数年かけて2要素認証を導入し、iCloudアカウントへの不正アクセスをほぼ不可能にしました。しかし、Appleの取り組みはそこで終わりませんでした。バージョン16.2では、iCloudのセキュリティをさらに強化する高度なデータ保護(ADP)オプションが導入されました。
この記事では、高度なデータ保護が iCloud ストレージにどのような影響を与えるか、またデジタルフォレンジック調査中に第三者が正当な方法で iCloud データにアクセスする場合にどのような影響があるかについて説明します。
iCloud セキュリティ: 標準と高度
iCloudのセキュリティは、Appleデバイスとの同期の前提条件となる2要素認証(2FA)をはじめとする、堅牢な一連の安全対策を採用しています。2FAを有効にすると、iCloudはデータ保護基準を即座に強化します。
標準的なデータ保護対策により、キーチェーンへのアクセス、健康情報、支払いデータといった機密性の高いユーザー情報は、エンドツーエンドで暗号化されます。これにより、これらのデータは信頼できるデバイスでのみ復号化できることが保証され、セキュリティが強化されます。一方、連絡先、iCloudメール、カレンダー、デバイスのバックアップデータといった他の種類の情報は、送信時のみ暗号化されます。Appleのサーバーに送られたデータは、暗号化キーと共に保存されます。この設定は、暗号化キーがデータと共にダウンロードされ、復号化される可能性があるため、潜在的なリスクをもたらします。
高度なデータ保護(ADP)は追加の認証要素を提供します。ADPを有効にするには、ユーザーは復旧キーを生成するか、iCloudデータへのアクセス回復を支援できる信頼できる連絡先を指定する必要があります。
iCloudデータは、メールやメッセージなどの通信ログを明らかにする能力があり、犯罪や企業の不正行為の証拠となる可能性があるため、捜査において極めて重要です。さらに、iCloudのバックアップには、イベントの再現に役立つ連絡先、カレンダー、写真が含まれていることがよくあります。
iCloudデータにアクセスするために、デジタル調査員は合法的にiCloud認証情報を取得し、それらにリンクされたデバイスを使用して認証を行います。iCloudからデータを抽出・分析するために、モバイルフォレンジックツールを使用します。例えば、Belkasoft Xは複数のクラウド抽出方法を提供しており、iCloud向けのオプションが2つあります。
- iCloud:この方法は、icloud.com で Apple アカウントにログインしたときにアクセスできる iCloud メール、カレンダー、メディア ファイル、その他のデータを取得するのに役立ちます。
- iCloudバックアップ:このオプションは、Appleデバイスの復元に必要なデータを効率的に取得します。システムファイル、iMessageの会話、iOSのデータ、そしてWhatsAppやViberなど、iCloudをバックアップの目的で利用する様々なアプリケーションのデータが含まれます。
これらの方法では、iCloud へのアクセスに使用される Apple ID 認証情報と、2FA を通過するためにこの Apple ID に関連付けられたデバイスが必要です。
ADPを有効にすると、追加のセキュリティ対策が講じられます。iCloudでの認証では、Appleは3つ目の要素、つまりデバイス上で作成された復旧キー、または復旧担当者からの承認を求めます。デジタルフォレンジックツールはこの要件を回避できるでしょうか?
ADPを有効にしたiCloudの取得
以下は、iCloud アカウントに対して高度なデータ保護を有効にする前と有効にした後で、Belkasoft X で取得された iCloud データの種類の比較です。
ご覧のとおり、どちらの抽出にもメール、カレンダー、一部の位置情報データが含まれています。ただし、ADPを有効にすると、メディアファイル、メモ、連絡先(アカウント所有者のものを除く)は取得できなくなります。もう一つ重要な点は、ADPを有効にすると、iCloudバックアップのフォレンジック抽出ができなくなることです。
デジタル捜査官がADPを回避する方法
高度なデータ保護(ADP)が有効になっている場合でも、モバイルフォレンジックソフトウェアはiCloudデータの一部を抽出できます。ただし、現時点では、保護されているすべてのデータを取得するには、ADPの処理方法を学習する必要があります。
iCloud ADPを無効にする方法をお探しの場合、デバイスの設定でオフにすることが一つの選択肢となります。この操作では復旧キーは不要で、デバイスのパスコードのみが必要です。ただし、重要なデータが上書きされる可能性のあるiCloudバックアップが実行される可能性があるため、フォレンジック的に安全とは言えません。
