Google Pixel 2が実践するデバイス内の個人情報を保護するための戦略とは？

スマートフォンやタブレットなどのデバイスには、多くの個人情報が保存されているものです。そこで、GoogleはAndroidデバイスでこれらの情報を守るための取り組みを続けているそうです。実際にGoogleが行っているデータ保護の取り組みについて、Google Pixel 2で実践している内容を開発者ブログで明らかにしています。

Android Developers Blog: Insider Attack Resistance
https://android-developers.googleblog.com/2018/05/insider-attack-resistance.html

Googleによると、Google Pixelデバイスに保存されている全てのユーザーデータは、ファームウェアによって暗号化されているとのことです。このファームウェアは、ユーザーから正しいパスワードが入力されたことをトリガーとして、保存されているデータを復号し、外部から読み取れるようにしています。なお、パスワードの入力には制限が設けられているため、総当たり攻撃とも呼ばれるブルートフォースアタックの脅威を軽減することも可能にしています。

また、Googleは攻撃者によってファームウェアを悪意のあるバージョンに書き換えられることを防ぐため、デジタル署名を使ったアップグレード方式を採用しています。このため、攻撃者がファームウェアを悪意のあるバージョンに書き換えるには、デジタル署名のチェック処理の脆弱性を突くか、デジタル署名に使用する暗号鍵に意図的にアクセスして、悪意のあるファームウェアを正当なものとして署名させる以外に方法はありません。なお、Androidではデジタル署名をチェックするソフトウェアについては、簡単にアクセスできない場所に隔離されていることもあり、ソフトウェアの脆弱性を突くのは現実的ではないとしています。

しかし、暗号鍵を同様に隔離してしまった場合、デジタル署名自体が行えなくなってしまうので、暗号鍵は必ず外からアクセス可能な状態にしておく必要があります。多くのデバイスメーカーは、この問題に対処するため、暗号鍵にアクセスできる人の数を厳しく制限するという方法を採用しています。Googleは、この方法自体に誤りはないとしながらも、問題点があると指摘しています。なぜなら、暗号鍵にアクセスできるユーザーに端末を操作するユーザー自身も含まれており、暗号鍵はユーザーを介して常にアクセスできる状態となってしまうからです。このため、ユーザーの誤ったタップ操作などによって、ファームウェアを悪意のあるバージョンにアップグレードされてしまう脅威が残ってしまいます。

そこで、Google Pixel 2では暗号鍵を保護するため、改ざん防止用のセキュリティモジュールを実装しています。このモジュールによって、ユーザーは正しいパスワードを入力しない限り、ファームウェアのアップグレードができなくなるとのこと。また、返品対応などのため、例外的に端末のファームウェアをユーザーの認証なくアップグレードすることも可能ですが、パスワード入力なしでアップグレードする場合はユーザーデータが自動的に削除される仕組みになっており、ユーザーの個人情報を守ることが可能であるとGoogleは説明しています。