パスワードを忘れた? アカウント作成
12693868 story
iOS

ジョン・マカフィー曰く: iPhoneにバックドアは不要、うちのチームが3週間で暗号化を解除する 51

ストーリー by headless
豪語 部門より
米連邦捜査局(FBI)がAppleに要求しているiOSへのバックドア設置について、2016年米大統領選挙にも出馬を表明しているジョン・マカフィー氏が自分にまかせればバックドアなどなくても暗号化解除できると主張している(Business Insiderの記事Neowinの記事Softpediaの記事Ars Technicaの記事)。

FBIでは昨年12月にカリフォルニア州サンバーナーディーノで発生した銃乱射事件について、犯人が所有していたiPhone 5cの暗号化を解除するため、専用のiOSを作って提供することをAppleに要求し、裁判所命令も勝ち取っている。iOSではPINによるロック解除を数回失敗すると次の試行が可能になるまでの待ち時間が長くなっていく。また、iOS 8以降では端末内のデータが暗号化され、PINによるロック解除10回失敗するとデータが消去される仕組みが導入されている。裁判所ではデータ自動消去のバイパス/無効化に加え、電子的にPINコードによるロック解除を試行できるようにし、待ち時間なしにロック解除試行の繰り返しを可能にするソフトウェアの提供をAppleに命じている(PDF)。これに対してティム・クック氏は、iOSにバックドアを設置するもので、使用が今回に限られるとは保証されないなどと反論している。

マカフィー氏はサイバーセキュリティの観点からiOSへのバックドア設置は非常に危険であり、機密情報へのアクセスを敵に許すも同然だなどと主張。FBIがスタンフォード大学のコンピューターサイエンス学科卒業生を部屋いっぱいに集めても、本物のハッカーには太刀打ちできないと述べ、最も優秀なハッカーを集めた自分のチームによる無料での暗号化解除を提案している。

マカフィー氏によれば、主にソーシャルエンジニアリングの手法を用いることで、暗号化は3週間以内に解除できるとのこと。万が一暗号化の解除に失敗した場合はテレビ番組で自分の靴を食べてみせるとし、信用できないならGoogleで「cybersecurity legend」を検索して誰の名前が10位までに表示されるか確認すればいいとも述べている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 他のセキュリティ企業ががこぞって「ウチがウチが」って手を挙げる。

    で、一番遅れてAppleが「うちが解除するのが最速」って言って欲しい、ような。
    // そうでないような

    • by Anonymous Coward on 2016年02月20日 18時55分 (#2968050)

      Appleに対してセキュリティ企業がこぞってソーシャルエンジニアリングすると宣言したなら、そりゃAppleでも折れたくなるんじゃないかなぁ…。

      親コメント
      • by Anonymous Coward

        もしかして「リバースエンジニアリング」

        • by Anonymous Coward

          いやソーシャルエンジニアリングするってかいてあるだろ。
          力業でどうにかできる代物じゃないし、iOSにバックドア仕掛けるのに反対してるんだからそう言う技珠的な手法じゃない。

          SNSの情報とか身近な人間から情報を引き出すんだろう。

          ハッカーってのもいわゆるウィザードじゃなくてアナログ手法もこなすタイプの方なんだろう。

    • で、一番遅れてAppleが「うちが解除するのが最速」

      「どうぞ.どうぞ.」

      親コメント
  • by maia (16220) on 2016年02月20日 17時29分 (#2968009) 日記

    かいつまんで言うと、IT業界の狂犬が黄金狂時代を演じるわけね。
    参考:
    WIRED:ベリーズに死す:IT業界の狂犬ジョン・マカフィーと頽廃の王国 [wired.jp]
    Wikipedia:黄金狂時代 [wikipedia.org]

    --
    #雑談は知性
  • さすがセキュリティ技術の関係者はブートストラップのドッグフーディングにも余念がありませんね。

  • by Anonymous Coward on 2016年02月20日 19時52分 (#2968068)

    でなければ、3週間で云々言わないで、素の5sにどのiOSがインストールされていれば
    クラック出来るとか、どのアプリがインストールされていれば端末側の電源が入って
    いるだけで(そのアプリを起動、操作しなくてもw)クラック出来るとか言えばいいのに。

    無料でやる、って言うのなら、犯人の端末を入手しなくてもテストを始める事は出来る
    訳でしょ。

    • by Anonymous Coward

      FBIではテロリストのスマホやPC類を入手したら、絶対に電源を切ってはならん
      とか決まり事はあるのかね?
      今回も、犯人のスマホを入手した段階でバッテリーが生きていたら、即座に電源
      に繋いで充電し、直前まで犯人が使用していた動作中のアプリを落とさずに済む
      ことは出来るけど。
      使えるかどうかも分からんアプリの脆弱性を生かすために、わざわざ犯人の遺留
      品に不特定多数の警官が触ってバッテリーを充電し続ける事も無いかと思うけど、
      それならやっぱりサードパーティのSNSアプリを狙うという選択肢は初めから無い?
      一旦電源が切れたらAppleのアプリしか狙うものは無い訳だから。

  • by Anonymous Coward on 2016年02月20日 22時51分 (#2968129)

    お前はにちゃんねらーか

  • by Anonymous Coward on 2016年02月21日 18時15分 (#2968335)

    ハックより簡単じゃん.そう考えると、これは宣伝としては大変効果的.

    # 何で作るといいかなあ.日本人なら鰹節を使って木靴っぽいものを作るという手があるが…

    • by Anonymous Coward

      どんな食材で作られようが、(自分を含めた)おっさんの履いた靴を食べるなんて。
      # 少女(6〜10歳)のおぱんつを食べるのとは違うのだよ!

    • by Anonymous Coward
      林祐人先生曰く、鰹節で作った靴など不要、私がフェラガモの靴を食べられるように料理する。
      探偵ナイトスクープで、革靴を料理して食べるというネタをやってましたが、あれ食べられたんでしたっけ。
  • by Anonymous Coward on 2016年02月20日 17時29分 (#2968008)

    ソーシャルエンジニアリングで暗号化を解除できる自信がどこから来るのか。

    • by Anonymous Coward on 2016年02月20日 18時27分 (#2968039)

      意識高い系の俺は、ソーシャルエンジニアリング対策に、友達つくらない・lineしない・SNSやらないを徹底している俺に死角はなかった。
      俺に通じるのはハニートラップだけだ。

      親コメント
    • by Anonymous Coward on 2016年02月20日 21時28分 (#2968099)

      この件、容疑者は死んじゃってますよね。
      死者に対するソーシャルエンジニアリングって… イタコ?
      生前の書き込みを洗い直すってことでしょうか。

      親コメント
      • by Anonymous Coward

        っ 日本には、大川隆法という死者に対するソーシャルエンジニアリングの大家が存在。

        • by Anonymous Coward

          そのセンセ、生きてる人の守護霊だか無意識だかもハックしまくってますぜw

          • by Anonymous Coward

            本当にすごい! もう彼に任せるしかありませんな!

          • by Anonymous Coward

            いや、呼び出してるだけだからハックはしてない。
            アレがハックだったら普通のインタビューもハックになる。
            一応本人(守護霊も含めて)が来て本人がしゃべりたいこと言ってるだけだからね。

            犯人は呼び出せるけど、たぶんパスコードやそれに関係するものは教えてくれないと思うよ。
            動機とかはすごいしゃべってくれると思う。

      • by Anonymous Coward

        公衆の面前で靴を食べたいフェチを持っているのかもしれない

      • by Anonymous Coward

        別に存命の人へのソーシャルエンジニアリングでも直接本人に仕掛ける(電話したりメールを送る)ようなことはあまりしませんよ。

        本人が公開していたり本人の知人友人が公開していたり本人がかかわったもの(勤め先、銀行、よくいく店)などから情報を収集し本人しかアクセスできない領域への侵入を試みます。

        • by Anonymous Coward

          しかし、そういうものであればそれこそ警察などがはるか昔から得意としてきた領域であって、たかがセキュリティ企業がFBIに対して言うものでもないような。

    • by Anonymous Coward

      普通に物理的にiPhone内のICにハッキングを掛けるのでしょ。例えばメモリの内容を予めコピーして置けば10回の失敗で消されてもまた試行できる。物が手の内にあるなら、もっと効率的な方法はいくらでもあると思うし。

      本当の攻略法を言わないのが、マカフィー流のソーシャルエンジニアリングなんだろう。

  • by Anonymous Coward on 2016年02月20日 18時11分 (#2968026)

    売ってるとしたら、マカフィーの製品に対して政府が暗号破りを要求したら数時間で応じるってこと?

    • by Anonymous Coward

      なんでそういう理解になるんだ…?

    • by Anonymous Coward

      なぜそういった疑問が生じるのか理解できませんが仮にそのような場合マカフィー氏は応じると思いますよ。理由として第一にジョン・マカフィーとマカフィー(企業)は現在無関係であること。第二に氏が現在暇を持て余していること。第三に氏には現在地に落ちたままの自身の名誉を回復させるまたとない機会であることなど。
      検索結果に自信の名を実際に登場させたことから見てソーシャルハッキングのスキルは高いといっても過言ではありません。
      うちのグーグル検索では9位までがこの人で10番目がドナルドトランプですね。

    • by Anonymous Coward

      マカフィーはMcAfeeを作って軌道には乗せたけどクズすぎて遥か昔に会社追い出されてるんだよ
      金はあっても創業者の名誉は欠片も無くなって必死なの

  • by Anonymous Coward on 2016年02月20日 18時22分 (#2968036)

    殺人容疑かけられてて、真犯人見つけたら賞金出すとか言ってた気がするんだが
    自分じゃ真犯人見つけられないってのに、ソーシャルエンジニアリングでクラックとかできんのかいなと

    • by Anonymous Coward

      状況が変わったため真犯人を探す意味がなくなりました。
      裁判前にアメリカに帰国しただけですが。

  • by Anonymous Coward on 2016年02月20日 20時13分 (#2968076)

    「使用が今回に限られるとは保証されない」というが、それは、当該改造版iOSがロック突破モードに入るときやインストールされるときに、
    例によって「Appleによる確認」が必要というようにすれば今回に限ることができるだろう。iOSのダウングレードを阻んでいるように、
    Appleが承認したとき、Appleが指定する端末に対してのみ、当該改造版iOSがインストールできるようにするのは難しくないはずだ。

    そうではなくて、単に犯罪者であってもテロリストであってもプライバシーは守られるべきだということなら、大いにAppleに賛同する。

    あと、そもそも、ロックされている端末のiOSをデータを残して上書きするなんてできるんだっけ?
    DFUモードからだと復元になりデータが失われるんじゃ?
    もしそれができるならロック画面を迂回できる脆弱性のあるiOSへのダウングレードを承認する(当該iOSへのSHSHを発行する)だけでいいんじゃ?

    • by Anonymous Coward

      例によって「Appleによる確認」が必要というようにすれば今回に限ることができるだろう

      たぶん、将来的にAppleが承認を蹴ることができないような制度ができてしまうことと、今回たまたま5cで可能なだけのことを
      将来に渡って仕込むよう要求されることを恐れている。

      DFUモードからだと復元になりデータが失われるんじゃ?
      承認する(当該iOSへのSHSHを発行する)だけでいいんじゃ?

      DFUからramdiskを流してUSB経由で総当たりをさせろと言っているらしい。なのでUSBで入れるiOSを作ってAPTicketを発行してくれと言ってる。
      5cでも正しいパスコードをハードウェアに送って復号鍵を取得しないと解読ができないらしい。なのでロック画面バイパスではダメ。

  • by Anonymous Coward on 2016年02月20日 20時22分 (#2968080)

    http://gigazine.net/news/20150331-apple-ios-bruteforce/ [gigazine.net]
    "iOSに設けられた「認証失敗回数制限」を回避するため、IP-BOXは10回ごとに「パスコード入力情報を削除する」という機能を有しており、これがしっかりと動作しています。"

    これ使うのではダメなのかな?

    • by Anonymous Coward

      対応しているのはiOS 8.1.1まで [teeltech.com]のようだから、
      犯人がそのiPhone5cをiOS 9にアップデートしていたとしたら、使えなさそうだ。

      そして、

      WARNING:
      If the iOS device you are unlocking has the “Erase Data After Ten Failed Passcode Attempts ” feature activated,
        the device will be wiped after the IP Box reaches 10 password attempts.

      とあるので、データ消去は免れないみたいで

  • by Anonymous Coward on 2016年02月20日 20時26分 (#2968081)

    失敗したらiPhone内の情報が消えちまって、テロの背後関係あらえなくなるじゃねーか。
    テレビの前で靴喰ったらそれで落とし前になると考えてるなら、なんつううぬぼれ屋で気違いだ。

    失敗したら単身ISILに乗り込んでいって、重要人物を暗殺してくるとかいうなら、
    あるいは人質で捕まっている米国人の身代わりになります、とかいうなら、
    まあ許せる。

    • by Anonymous Coward

      靴食べる気も当然無いでしょ。
      明らかに実行不可能な上、「ああその件なら冗談に決まってるじゃないですか、
      私はやりませんよ」とあっさり投げ出した所で、マカフィーに強制的に靴を食
      わせる権限は誰にも無いんだから。
      要は、「皆さん、私の輝かしい経歴をググってね!」という宣伝行為に過ぎな
      いってこと。

      • by Anonymous Coward

        マカフィーの輝かしい経歴か。
        中南米での優雅な隠居暮らしや楽しいドラッグパーティー。
        自警団としてご近所さんから恐れられていたこと。
        突然の逮捕と緊急帰国あたりですかね。

      • by Anonymous Coward

        「よし、任せた」ってことにはならないだろう、という予測で
        一席ぶっただけだろうね。

    • by Anonymous Coward

      ジョークの一節に噛み付いてひとりカッカするスーパーアスペタイムw

      落とし前だの許すだの、ネット脳の肥大なこと…

      • by Anonymous Coward

        マカフィーの気違いっぷりを考えれば、あれは本気で言ってるだろ。

        • by Anonymous Coward

          キチガイと思ってるやつの発言にムキになって…、ねじれすぎてて理解に苦しむね。

      • by Anonymous Coward

        ASD狩りしてるほうがネットらしいわ

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...