WWW Watch

iOS で添付ファイルが暗号化されていないからメールが危険とか言われている件について

セキュリティ研究者の Andreas Kurtz 氏が指摘した iOS において 「メールの添付ファイルが暗号化されていない」 という問題について取り上げた記事の一部が少しミスリードっぽかったので元記事を読んで要点をまとめてみました。

セキュリティ研究者の Andreas Kurtz 氏が、自身の Blog で iOS 7.0.4 以降に存在する 「メールの添付ファイルが暗号化されていない」 という問題について発表した件を取り上げた記事を目にしたのですが、ちょっと論点ずれているっぽかったので書いてみます。

この問題について取り上げた記事ってのは下記など。どちらも日本語での記事参照元としては 「気になる、記になる...」 さんになってるんですかね。

一方、元ネタ的には英語ですが下記あたり。Andreas Kurtz 氏の Blog と、それを取り上げた海外 CNET の記事。

で、最初に挙げた日本語記事のうち、元になってる 「気になる、記になる...」 さんの記事ではそういう書かれ方はしていないんですが、その記事を参照している 2件の日本語記事については、「メールで添付ファイルを送るのは危険だからやめよう」 的な書かれ方になっています。

元々メールを全部暗号化して送ってる人なんて世の中にどんだけいるんだよ (いや、もちろん知識があるならきちんと暗号化してメール使った方がいいですよ) と思って、何言ってんだ感がすごかったんですが、元記事を読んでみたところ、簡単に言えば、

iOS (正確には iOS 7.1 / 7.1.1 が稼働する iPhone 4 と iOS 7.0.4 が稼働する iPhone 5S / iPad 2 で実験したらしい) の MobileMail.app 上に保存された添付ファイルデータは、デバイスに直接アクセスできる環境ではパスコードを設定してデータ保護が有効な状態でも中身を見ることができちゃう。これは Apple が主張しているデータ保護の内容と違うので危険。

ってことらしいです。

iOS のデータ保護については下記、Apple の公式サイト上に記述があります。

データ保護機能は、iPhone 3GS 以降、iPad の全モデル、および iPod touch (3rd generation 以降) など、ハードウェア暗号化機能を提供するデバイスで利用できます。データ保護機能を使ってハードウェア暗号キーをパスコードで保護することによって、内蔵ハードウェアをさらに強力に暗号化できます。これにより、メールのメッセージや添付書類、他社製アプリケーションをさらに厳重に保護することができます。

データ保護機能が有効なら 「メールのメッセージや添付書類」 を暗号化して保護できますよとうたっていながら、実際には保護されてねーじゃんっていうのが Andreas Kurtz 氏が指摘していることですね (ちなみにメール本文は暗号化されてて見られなかったって書いてる)。

なので、添付ファイルを送ると危険とか、まぁ確かにそうなんですが、それだとちょっとミスリードというか、「端末に物理的にアクセスされるような状況になったときに、意図した通りのデータ保護が働いていないですよ」 っていう話なので添付ファイルを送らないことが対策じゃなくて、パスコードを設定しているからといって自分の端末をそこいらに放置したり、重要なファイルをメールの添付ファイルとして保存したままにしない方がいいよとかそういう話になるんじゃないかなと思います。

ちなみに、Andreas Kurtz 氏はこの問題を Apple に報告済み。Apple は問題は認識したよと答えているそうですが、明確なパッチリリースの日程などは示さずとのこと。次のアップデートあたりで修正されるんじゃないでしょうか。

I reported these findings to Apple. They responded that they were aware of this issue, but did not state any date when a fix is to be expected.

What Apple Missed to Fix in iOS 7.1.1 : Andreas Kurtz から引用

まとめ

  • 現状 iOS のデータ保護機能のうち 「メールの添付ファイル」 に対する保護が正常に動作していないらしい
  • パスコードが設定されていたとしても第三者が端末に物理的にアクセスできる状況は避ける (これは今回の問題に関係なく当たり前)
  • 他の OS に比べ、著しく iOS のメールアプリが危険だとかそういう話ではないから大げさに騒ぐな
  • セキュリティアップデートが提供されたら適用しましょう (これも今回の問題に関係なく当たり前)

関連エントリー

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー