Amnesty International が開発した Mobile Verification Toolkit(MVT)は、現代のモバイルオペレーティングシステムにおけるデバイスセキュリティとフォレンジックアクセシビリティの間に存在する本質的なトレードオフについて、重要な議論を引き起こしています。MVT は Pegasus のような高度なスパイウェアを検出するための貴重なツールを提供していますが、コミュニティでの議論は、特に iOS デバイスにおけるモバイルデバイスフォレンジックの根本的な限界についてより深い懸念を明らかにしています。
モバイル検証ツールキット(MVT)についての重要ポイント
- 開発者: Amnesty International Security Lab (アムネスティ・インターナショナル・セキュリティラボ)
- リリース: 2021年7月、 Pegasus Project の一部として
- 目的: 潜在的に侵害されたモバイルデバイスの合意に基づく法医学的分析を促進
- プラットフォーム: Android と iOS の両デバイスをサポート
- コマンド:
mvt-iosとmvt-androidコマンドを提供 - 制限: 公開されている侵害の指標に依存しており、最近の法医学的痕跡を見逃す可能性がある
iOS フォレンジックの課題
- iOS 15以降、署名付きシステムボリューム(SSV)によるシステム整合性検証
- 編集されていない生のディスクイメージへのアクセス不可
- 侵入後の完全な復元は不可能
- 非永続的なマルウェアはデバイスの再起動によって消去可能
- セキュリティに敏感なデータに対するバックアップ機能の制限
Android フォレンジックの課題
- アプリケーション間で一貫性のないバックアップサポート
- ルートアクセスには通常、最初にデバイスの初期化が必要
- SafetyNet/Play Integrity は改変されたデバイスをブロック可能
- 多くのアプリはroot化されたデバイスでの動作を拒否
 |
|---|
| この画像は Mobile Verification Toolkit(MVT)を表しており、モバイルフォレンジックとセキュリティの課題に関する議論の中心となる重要なツールです |
iOS セキュリティのフォレンジックジレンマ
Apple の iOS セキュリティへのアプローチは、フォレンジック分析に大きな課題をもたらしています。従来のコンピューティング環境とは異なり、iOS デバイスは所有者やセキュリティ研究者でさえも、編集されていない生のディスクイメージにアクセスすることを許可していません。このような制限は、フォレンジック調査員にとっては不満の種ですが、デバイスが紛失、盗難、または没収された場合にユーザーを保護する重要なセキュリティ機能として機能しています。
「iPhone がダンプしにくいという事実は、実際にはあなたの電話が盗まれたり、(多かれ少なかれ正当に見える組織や人物によって)持ち去られたりした場合の脅威に対する主な保護になっています。全体的にはかなり良いことです。」
しかし、この同じ保護メカニズムにより、徹底的なマルウェア調査や侵害後のデバイスの完全な復元を行う能力が厳しく制限されています。セキュリティ専門家は、iOS での侵入後のデバイス復元は、従来のフォレンジックの意味では本質的に不可能であると指摘しています。ユーザーは新しい OS バージョンをインストールして元のデータの一部を復元することしかできず、すべてのアプリとサービスは事実上新しいデバイスとの信頼関係を再確立する必要があります。
システム整合性検証と永続的な脅威
最新の iOS 実装(特に iOS 15 以降)では、他のプラットフォームの dm-verity と同様に機能する Signed System Volume(SSV)などの機能を通じて、システム整合性検証が大幅に改善されています。このアプローチでは、OS をハッシュツリーを使用して検証される別の APFS ボリュームスナップショットに配置し、永続的なマルウェアの実装をますます困難にしています。
これらの進歩により、真に永続的な iOS マルウェアは比較的まれになりました。Operation Triangulation のような高度な攻撃でさえ、インプラントの再起動持続性を達成できませんでした。しかし、コミュニティは、多くのユーザーがデバイスを滅多に再起動しないため、非永続的なマルウェアが依然として重大な脅威であることを指摘しています。さらに、永続的なユーザーデータを標的とするゼロデイ脆弱性は、再起動後も再度悪用される可能性があります。
Android の異なるが類似した課題
議論によると、Android も同様の課題に直面していますが、トレードオフは異なります。Android はカスタム ROM やルートアクセスを通じてフォレンジック分析のためのより多くのオプションを提供する可能性がありますが、これらのアプローチは通常、最初にデバイスをワイプする必要があり、侵害されたデバイスの実際のフォレンジック調査には役に立ちません。
Android のバックアップ機能も iOS と比較して一貫性がないことが注目されています。iOS バックアップは一般的に Secure Enclave データ(クレジットカードや eSIM キーなど)を除くすべてをキャプチャしますが、Android のバックアップサポートはアプリにとってオプションであり、特にゲームなど多くのアプリケーションはバックアップ機能をまったく提供していません。
リモートアテステーションの論争
議論の中で最も議論を呼ぶ側面は、デバイスの整合性を検証するための潜在的な解決策としてのリモートアテステーションに関するものです。一部の人々は、Apple がオプションのリモートアテステーションを通じて OS とベースバンドの整合性を検証するためのより良いセキュリティを提供できると主張しています。しかし、このアプローチはコンピューティングの自由に関する深刻な懸念を引き起こします。
Google(SafetyNet/Play Integrity)や Apple がすでに様々な形で展開しているリモートアテステーション技術は、サービスがアクセスを提供する前にデバイスのソフトウェア状態を検証することを可能にします。これは侵害されたデバイスから保護することができますが、企業の監視ではなくユーザーの管理下にある変更された、または自由なデバイスに対する差別も可能にします。
コミュニティはこの問題について深く分かれているようで、一部の人々はリモートアテステーションをコンピューティングの自由を脅かす避けられないが懸念すべき発展と見なし、他の人々はより細かくユーザー制御されたアテステーションモデルが中間的な道を提供できると信じています。
モバイルの脅威が進化し続ける中、セキュリティ、プライバシー、およびコントロールの間の緊張関係は、モバイルフォレンジックの中心にあり続けています。MVT のようなツールは合意に基づくフォレンジック分析のための貴重な機能を提供しますが、モバイルオペレーティングシステムの根本的な制限により、包括的なデバイスセキュリティは保護とアクセシビリティの間の難しいトレードオフを伴い続けるでしょう。