FBIが削除済みのメッセージアプリからデータ復元…ってバラしていいの…?
アプリを消しても、iPhoneの意外な場所にデータが生き続けていました。
セキュリティ意識の高いユーザーに支持されているメッセージアプリ「Signal」。送信者と受信者しか読めない「エンド・ツー・エンド暗号化」さ採用されており、「削除すればメッセージも消える」という安心感から使っている人も少なくないはずです。
ところが、そのSignalのメッセージがアプリを削除した後もiPhoneの内部に残っており、FBIの法科学捜査チームに読み取られていたことが、アメリカのとある裁判を通じて明らかになりました。
「消した」はずのメッセージが残っていた仕組み
この話題、テキサス州にあるICE(米国移民・関税執行局)の収容施設「プレーリーランド拘置所」への攻撃に関する捜査に端を発します。
FBIによれば昨年夏、この施設に対して花火が打ち込まれ、施設が故意に損壊されたほか、警察官少なくとも1名が負傷。この事件はトランプ大統領が左派運動の「Antifa」(アンティファ)をテロ組織に指定した後、初めて同運動に関連する容疑で人々が起訴されたケースとなりました。
捜査の中で、FBIの法科学チームは、裁判中に容疑者のiPhoneからSignalのメッセージを復元し、データを抽出したと述べたのです。
驚くべきはその方法。 FBIは、受信したSignalのメッセージのコピーがデバイスのプッシュ通知データベースに保存されていたため、法的にそのコピーを抽出できたとのこと。
そう。スマートフォンに届く「通知」、画面上部にポップアップ表示されるあのメッセージです。「〇〇さんからメッセージが届きました:こんにちは」のように、メッセージの中身が表示されることがありますよね。これが「通知プレビュー」。
Signalの通知プレビューが有効になっている場合、この通知データもiPhoneの内部ストレージ(通知データベース)に保存されていたというわけです。
しかも、容疑者のスマホからはSignalのアプリ自体はすでに削除されていたにもかかわらず、受信した通知の内容はそのまま端末内に残っていたと。そのため、取得できたのは受信メッセージのみで、送信メッセージは含まれなかったと説明されています。
「自動消去」設定も万全ではなかった
さらに注目すべき点として、この事件の当事者はSignalの「メッセージ自動消去」機能を有効にしていたとのこと。しかし、メッセージ自体は消えても、通知データベース上では自動消去が反映されていないようですね。
自動消去はあくまでSignalアプリ内での動作であり、iOSの通知システムとは別のレイヤーで動いているため、Signalが管理できない領域にデータが残ってしまっていたともいえそう。
アメリカのニュースメディア「404 Media」は、この問題はSignalに限らず、通知を利用するすべてのアプリに当てはまる可能性があると指摘しています。
つまり、LINEでも、WhatsAppでも、Telegramでも、通知プレビューを有効にしているアプリならば同様かもしれません。また、今回のケースでは端末内のローカルデータのみが対象でしたが、過去にはAppleなどのスマートフォンサービス事業者がプッシュ通知サーバー上のデータをFBIと共有したこともあるとされています。
この点、404 Mediaからの問い合わせに対し、Appleはコメントしなかったとのことです。
さて、今回の件を受けて、もし同じようにFBIなどにスマホを探られたくなかったら…まずはアプリ内のメッセージ通知プレビューを無効にすることが有効でしょう。これで通知データベースへのメッセージ内容を保存せずに済むはず。
もっとも、そんな状況に身を置かないことが一番の対策かもしれませんけど…。
Source: heise online , 404 Media
GIZMODO テック秘伝の書
