2015年11月25日 12時45分 セキュリティ

Googleはユーザーが所有するスマホの端末ロックをリモート解除可能と発覚



ニューヨークの地区検事長が公開したスマートフォンの暗号化および安全性に関するレポートに「捜索・差押許可状が発行されている場合に限り、GoogleはAndroid搭載スマートフォンの端末ロックをリモートで解除できる」という旨の記載がありGoogleの広報が説明する事態にまで発展しています。



11.18.15 Report on Smartphone Encryption and Public Safety.pdf

(PDF)http://manhattanda.org/sites/default/files/11.18.15%20Report%20on%20Smartphone%20Encryption%20and%20Public%20Safety.pdf



Google can remotely bypass the passcode of at least 74% of Android devices if ordered

http://thenextweb.com/google/2015/11/22/google-can-remotely-bypass-the-passcode-of-at-least-74-of-android-devices-if-ordered/



レポートの「捜索令状とロック解除命令」という要項では、裁判所が捜索令状を発行し対象者が所有しているモバイル端末のロック解除命令を出した場合におけるAppleとGoogleの対応について記載されています。



レポートによると、Android 5.0以降を搭載した端末では全体を暗号化する「フルディスク暗号化」が採用されており、裁判所命令があったとしてもGoogleが端末をロック解除するのは不可能。ただし、フルディスク暗号化はデフォルトで有効になっていないため、有効化されていない端末はGoogleがリモートで解除できる可能性があります。Android 5.0以降を搭載しているNexusシリーズについてはデフォルトでフルディスク暗号化が有効になっているとのことですが、機種にもよるそうです。





一方で、Android 4.4以前を搭載している端末については、そもそもフルディスク暗号化が採用されていないため、「Googleがリモートで端末のロックを解除し、警察は端末に残されているデータから証拠を集めることが可能」と記載されています。Googleが2015年11月に公開したAndroidのバージョン別シェアによれば、Android 6.0が0.3％でAndroid 5.0および5.1が25.6％であるとのこと。つまり、Android搭載端末の約74％はAndroid 4.4以前を使用しており、Googleがリモートで端末のロックを解除できることになります。





レポートで判明した事実について、IT関連メディアのThe Next WebがGoogleに確認したところ、Googleが端末のロック解除をリモートで行えるのは「パターンで画面ロックされているAndroid 4.4搭載端末のみ」であり、PINおよびパスワードでロックしている端末についてはリモートで解除を行えないとのことです。



AppleのiOS搭載端末の場合は、何回パスワードを間違えても強制的にロックされないiPhone 4のみ、パスワードの組み合わせを全て試す「ブルートフォースアタック」でロックを解除可能。iPhone 4s以降のモデルおよびiOS 7を搭載している端末はブルートフォースアタックが不可能ですが、裁判所から命令が出された場合は、Appleが独自の方法で端末を解除して保存されていたデータのコピーを提出するという手順になっています。



iOS 8はAppleがパスワードを所有していない限り端末にアクセスできない仕様になっていて、かつ、Appleは端末のパスワードを保持していないため、裁判所の命令があったとしてもAppleが端末のロックを解除するのは不可能となっています。なお、Appleが公開しているOSのシェアによると、iOS 9が67％でiOS 8が24％となっており、iOS 7以前を使用している端末は全体のわずか9％です。

