ロジャー・フィンガス
· 2分で読めます
GrayKeyデバイス。| 出典: MalwareBytes
iOS 11.4 ベータ版には、USB 制限モードと呼ばれる新機能が含まれており、おそらく Grayshift や Cellebrite などのフォレンジック会社を念頭に置いて、第三者による物理的なデータアクセスを無効にするように設計されています。
セキュリティ企業ElcomSoftが強調したAppleのドキュメントには、「セキュリティ強化のため、ロックされたiOSデバイスがUSBアクセサリと通信するには、少なくとも週に1回、ロック解除状態でLightningコネクタ経由でアクセサリをデバイスに接続するか、接続中にデバイスのパスコードを入力する必要があります」と記載されています。この機能は実際にはiOS 11.3ベータ版で導入されていましたが、AirPlay 2と同様に、完成版コードからは削除されました。
この変更により、デバイスが7日間放置された場合、充電以外の目的でLightningポートが使用できなくなります。iPhoneやiPadは、iOSがパスコードでロック解除されるまで、iTunesを実行しているコンピュータとの同期も拒否されます。
USB制限モードは、Grayshiftのようなデジタルフォレンジック専門家が、少なくとも単純な手法を用いてデバイスに侵入できる期間を7日間に制限することを意図している可能性があります。これらの専門家は、容疑者のコンピュータから「ロックダウン」記録を取得し、パスコード入力を省略してiPhoneデータのローカルバックアップを作成することがよくあります。
iOS 11では、ロックダウン記録に既にいくつかの制限が設けられています。具体的には、自動有効期限切れや、デバイスを再起動すると記録が無効になるフルディスク暗号化などです。11.3アップデートでは、iTunesのペアリング記録の有効期限が7日間に短縮されました。
ElcomSoft は、デバイスをペアリングされたアクセサリまたはコンピュータに接続すると、制限モードのウィンドウが拡張される可能性があり、集中管理されたハードウェアではすでにそのモードが無効になっている可能性があると示唆しました。
「携帯電話が電源オンの状態で押収され、その間も電源オンの状態が維持されていた場合、ローカルバックアップを作成するために携帯電話をコンピューターに接続できる可能性は、専門家が有効期限内のロックダウンファイル(ペアリング記録)にアクセスできるかどうかに左右されます」とエルコムソフトは説明した。「しかし、携帯電話が電源オフの状態で届けられ、パスコードが不明な場合、回収に成功する可能性はせいぜいわずかです。」
CellebriteとGrayshiftのGrayKeyが使用するハッキング手法の詳細は秘密にされているため、iOS 11.4のリリース後も有効である可能性があります。しかし、両社は、デバイスからフラッシュメモリを取り外し、コピーし、そのコピーを使ってパスワードを攻撃するなど、より極端な手段でデータにアクセスする可能性があります。
