AirTagが発売されてから2週間が経ち、セキュリティ研究者がAppleのアイテムトラッカーをハッキングしたというニュースが数多く報じられています。なぜでしょうか?AppleがAirTagのセキュリティ機能を設計する際に何か問題があったのでしょうか?そして、あなたはそれを心配すべきでしょうか?これらの疑問に答えていきましょう。
心配しますか、それとも心配しませんか?
AirTagsがハッキングされたというニュースを読んでも、すぐには安心できません。特に、物を追跡するための製品であるAirTagsをAppleが悪意のある人物から守ってくれると信じるかどうかは、個人の判断です。これまでに報じた2つのセキュリティ関連のニュースでは、何がどのようにして起こったのかを詳細に理解することが重要です。
最初のシナリオでは、セキュリティ研究者がジェイルブレイクされたAirTagのNFC URLを改変することに成功しました。これが何を意味するのか、詳しく見ていきましょう。
仕組み
AirTagのジェイルブレイクとは、プロのセキュリティ研究者がAirTagのファームウェアに脆弱性を発見し、動作を改変することができたことを意味します。新品で購入したAirTagは「ジェイルブレイク」された状態で出荷されることはなく、iPhoneと同様に、Appleが既知の脆弱性を修正することが期待されます。
NFC URL を変更することは、初心者にとっては非常に心配なことのように聞こえますが、AirTag をハッキングして許可なく誰かを追跡することとはまったく異なります。
NFCは近距離無線通信(NFC)の略で、AirTagが数センチ以内のiPhoneやAndroidスマートフォンと通信するために使用する方式です。URL(ユニフォーム・リソース・ロケータ)は、実際の位置情報とは関係ありません。URLは、AirTagが紛失モードのときに送信されたメッセージのオンラインロケーション(Appleのサーバー)を指します。
ここでのリスクは、誰かがAirTagをジェイルブレイクして、ユーザーの許可なく位置情報を追跡する可能性があることではありません。むしろ、ジェイルブレイクされたAirTagがフィッシング詐欺に利用され、個人情報を悪意のある第三者に漏らしてしまう可能性があることです。
メールを使うのは危険だ
このハッキングは、ウェブやメールを介したフィッシング詐欺の手口に似ていますが、カスタムURLが設定されたジェイルブレイクされたAirTagが実際に出回ることはまず考えられません。そのためには、誰かがAirTagをジェイルブレイクし、NFC URLを変更する方法を知っていて、AirTagを囮として検出可能な場所に置いておく必要があります。
この特定の脆弱性は、AirTagの将来のファームウェアアップデートで修正されることを期待していますが、現時点では、メールやウェブを利用する方が、偽のURLを使ったフィッシング詐欺に遭うリスクが高いです。また、紛失モードのAirTagを見つけた場合の対処法については、こちらをご覧ください。
エアタグスパム
AirTag がどのように悪用されるかを示す 2 番目のデモンストレーションはさらに悪質ではなく、どちらのシナリオでも許可のない位置追跡は行われません。
AirTagは、Appleの「探す」ネットワークを介して、近くのiPhoneと暗号化されたGPSデータを通信するように設計されています。これにより、iPhoneユーザーは他のiPhoneユーザーの助けを借りて、紛失したアイテムを見つけることができます。
セキュリティ研究者が発見したのは、GPSデータを他のデータに置き換えて近くのiPhoneにブロードキャストできるというものです。これは確かに不気味な点もありますが、この方法が実際にセキュリティリスクとなる可能性は不明です。
私の同僚であるベンジャミン・メイヨーは、このエクスプロイトとそのリスクについて次のように説明しています。
この最新の研究では、単に位置情報の更新をミラーリングするのではなく、任意のデータを送信できるようにプロトコルを拡張しています。[…]
デモでは、短いテキスト文字列が「探す」ネットワーク経由で自宅の Mac に送り返されます。[…]
「Find My」メッセージのサイズはキロバイト単位で非常に小さいため、悪質な偽の AirTag が誰かのデータ上限を使い果たす可能性はほとんどありません。
現時点では、この「ハック」は本質的にはエアタグの機能を破壊する例であり、他人に危害を加えるためのものではありません。実際のリスクは、間違った番号や送信者からテキストメッセージやメールを受信するのと似ていますが、実際にはメッセージを見ることができません。
エアタグとプライバシー
では、AppleはAirTagアイテムトラッカーのセキュリティ設計において何かを見落としていたのでしょうか?必ずしもそうではありません。AppleはAirTagのプライバシーについて次のように説明しています。
AirTagの位置はあなただけが確認できます。位置情報や履歴はAirTag本体に保存されることはありません。AirTagの位置情報を中継するデバイスも匿名性を保ち、位置情報はあらゆる段階で暗号化されます。そのため、AppleでさえAirTagの位置や、AirTagの位置情報を提供するデバイスのIDを把握することはできません。
現実には、完璧なソフトウェアは存在せず、すべてのコンピュータにはセキュリティ上の脆弱性に関連するリスクがあり、それらは定期的に発見・修正されています。Appleをはじめとするプラットフォームメーカーは、脆弱性が発見されるたびにパッチをリリースし、OSやソフトウェアのセキュリティ確保に努めています。しかしながら、AirTagのファームウェアはiPhoneのソフトウェアほど高度なものではないため、脆弱性が悪用される可能性ははるかに限定的です。
研究者が発見したこれらの「ハッキング」がより大きなリスクであることが判明した場合、またはAirTagのファームウェアによってこれらのハッキングが廃止されたことが判明した場合、記事の内容を更新します。現時点では、「AirTagがハッキングされた」からといって、誰かがあなたの位置情報や持ち物をあなたの許可なく追跡できるわけではありませんのでご安心ください。Appleのセキュリティに関する詳細は、こちらをご覧ください。
getoog.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
