セキュリティ

iPhoneを本人以外でもロック解除できる「GrayKey」がどのように動作するのかという説明書が流出


AppleはiPhoneのセキュリティの高さを売りにしていることから、犯罪捜査を行う警察に対しても「ロック解除ツールは提供しない」という姿勢を取っています。このためアメリカ政府はベンチャー企業が開発する「GrayKey」を利用してiPhoneのロック解除を行っています。新たにテクノロジーメディアのMotherboardは、情報公開請求を通じてGrayKeyの使用方法を説明する文書を入手。この文書から、警察がどのような手順でGrayKeyを使用しているかが明らかになっています。

Instructions Show How Cops Use GrayKey to Brute Force iPhones
https://www.vice.com/en/article/k7835w/how-to-brute-force-iphones-graykey

iPhoneのロックはパスコードを知らないと解除することができないことから、犯罪捜査が妨害されるとして、これまでアメリカ連邦裁判所は何度もAppleに対してロック解除の裁判所命令を出してきました。しかし、Appleは裁判所命令に従うことがiPhoneのセキュリティを破壊するとして要請を拒否。このため、アメリカ政府はベンチャー企業Grayshiftが開発した「GrayKey」というツールを購入して、iPhoneのロックを解除しています。

1台たった5000円でiPhoneのロックを解除するサービスをアメリカ国務省が購入した - GIGAZINE


以下は新たにMotherboardが入手したスクリーンショット。画面上部に「適切な捜査権限が得られたデバイスに対してのみ、以下のGrayKeyの設定が選択できます。(チェックマークがついたものは強調されます)」と記されています。これはGrayKeyを使用する際に捜査令状などを得る必要があることを意味します。


また説明書にも「GrayKeyをiPhoneと接続する前に、ロック解除が要求されているApple端末について適切な捜査権限が取られていることを確定させてください」と記されていたとMotherboardは記しています。そして、説明書によると、iPhoneの電源が入ってから一度もロック解除されていない状態(BFU状態)や、最初のロック解除後(AFU状態)、あるいはディスプレイが損傷を受けた状態や、iPhoneのバッテリーが残り2~3%とわずかな状態でも、GrayKeyとの接続は可能とのこと。


またGrayKeyは「ブルートフォースエージェント」をインストールすると述べており、ブルートフォースアタック(総当たり攻撃)によってロック解除を行うことがわかります。


以下はGrayKeyでロック解除を行う際に接続する機械。この機械の写真は2018年にMotherboardによって公開されました。


GrayKeyを使うユーザーは、接続されたiOSデバイスから抜き出す情報や、どのように抜き出すのかをオプションで選択することが可能であることも、文書から判明しています。

通常、数字のみのパスコードよりもアルファベットが混じっている方がセキュリティが強固になると考えられています。この点、iPhoneでもパスコードに英数字を交えることは可能です。しかし、GrayKeyでは15億単語を含む「crackstation-human-only.txt」と呼ばれる単語リストのオプションを選択でき、このリストを使用するとパスコードの解読がより容易になると考えられるとのこと。「パスコードにアルファベットが含まれているかどうかは自動的に検出され、含まれている場合、人間のアナリストに追加アクションが要求されます」と説明書には記されているそうです。

上記のように、GrayKeyによってiPhoneのロック解除は可能になりますが、一方でGrayshiftとAppleはロック解除をめぐっていたちごっこを繰り広げているとMotherboardは指摘しています。

この記事のタイトルとURLをコピーする

・関連記事
犯罪捜査で「iPhoneのロック解除」は行われるべきなのか? - GIGAZINE

FBIが銃乱射犯のiPhoneのロックを破った方法が判明、Appleが拒絶したセキュリティ突破はどのようにして行われたのか? - GIGAZINE

ニューヨーク市には10億円規模の「iPhoneのロックを解除するための研究所」がある - GIGAZINE

警察はiPhoneのパスコードをわざわざ破らなくてもあっさりiPhoneに侵入できるとの指摘 - GIGAZINE

iOS11以下のどのiPhoneのロックでも強制的に解除できる方法がついに発見される - GIGAZINE

in モバイル,   ソフトウェア,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.