こんにちわ、Hikaru Sanoです。
Appleでも非常に信頼の高いセキュリティシステムである「Touch ID」、iPhone 5s以降のiPhoneユーザの皆さんはご利用中かと思います。
そんな「Touch ID」の暗号抽出ツールとその使い方がTwitterで公開され、大きな話題になっているようです。
ただちにユーザが被害を被る事はない
8月16日、Twitterで@xerubと名乗るユーザが、「key is fully grown」というメッセージとともにとあるツールとその使い方を公開しました。
そのツールは「img4lib」と呼ばれ、なんとiPhoneの「Touch ID」とその処理システムである「Secure Enclave」の間に入り、iPhoneで利用される指紋情報、つまり暗号鍵を抽出するというもの。
key is fully grown https://t.co/MwN4kb9SQI use https://t.co/I9fLo5Iglh to decrypt and https://t.co/og6tiJHbCu to process
— ~ (@xerub) 2017年8月16日
「img4lib」はiPhoneとPCを接続し、「Secure Enclave」に保存されている暗号鍵を抽出するという事で、今の所直接iPhoneを相手が手に入れないと暗号鍵の抽出はできません。
また、暗号鍵は「Secure Enclave」によって数学的表記(数字などの羅列)に置き換えられており、その情報から指紋の画像データを復元したり、あるいはその数学的表記を利用して「Touch ID」を解除するとはできないとの事。
上記の通り「iPhoneに直接PCを接続しなければならない」事、「取得した情報からTouch IDを解除できない」事から今すぐ既存のユーザに被害がでる事はありません。
Apple自身も「Touch ID」のセキュリティページで「保存されているこのデータから、実際の指紋画像を逆行分析で入手することはできません。」としています。
しかし、不可侵だと思われていた「Secure Enclave」から数学的表記とは言え暗号鍵を抽出できたというのは、ある意味Appleの強固なセキュリティ神話に亀裂を入れた事になる、と識者らは意見を述べています。
これから研究が進み、数学的表記の暗号鍵から指紋画像を復元できるようになるかも知れませんし、公衆Wi-Fiや公衆充電器、あるいは悪意あるWebページからもアクセスできるようになるかも知れませんからね…。
まとめ
いかがでしたか?
世界中のユーザがある程度信頼して利用している「Touch ID」の暗号鍵が抽出できるというのは、Appleにとっても非常に信じがたい事件だったと思います。
「Secure Enclave」はiOSから独立した存在との事でアップデート出来るかは不明ですが、ぜひAppleには「img4lib」へのセキュリティ対策をして欲しいところですね。
