背景

まず背景として、ここ数年米国で活発に議論されている暗号規制の話がある。FBIではこれを "Going Dark" 問題と呼んでおり、FBI長官はたびたび議会でも不満の声を挙げている。また過去に行われていた暗号に関する様々な規制の試み ("Crypto Wars" と呼ばれる)と関連づけて "New Crypto War" などと呼ぶ場合もあるようだ。大まかに言うと、テクノロジー業界が強力な暗号機能をサポートすることでプライバシーや安全性は高まっている反面、テロリストや犯罪者の捜査が難しくなっているため、暗号機能を弱くしたり法執行機関向けのバックドアを設けるべきではないかとの主張である。特に Appleや Googleがスマートフォンの暗号化機能を強化した 2014年以降、こうした声が強くなってきている。そこへさらに昨年11月のパリ同時多発テロ、12月のサンバーナーディーノ銃乱射事件が発生した。政府機関側が焦るのも無理もないことだろう。

一方のテクノロジー企業側も、はいわかりましたと素直にこのような主張を受け入れるわけにはいかない。2013年に Edward Snowden氏が NSAの機密情報をリークしたが、PRISMなどNSAの監視プログラムに企業側も協力していた(正確に言えば法律に従って顧客のデータを政府に提供していた)実態が明らかとなり、マイナスイメージを払拭するのに躍起となっているからだ。そのため近年 Apple, Google, Facebook, Microsoft, Yahoo! などの大手企業は通信やデータの暗号化をさらに強化し、顧客のプライバシーを保護することに全力で取り組んできた。また政府からのデータ開示の要求についても情報を公開し透明性を高める努力もしてきた。
また Snowden氏のリークからは NSAの暗号解読プロジェクト Bullrunの存在も明らかとなり、その活動の一環として NSAは NISTによる暗号標準の策定にも関与したとされている (DUAL_EC_DRBGのバックドア問題)。
暗号技術はインターネットという社会基盤の根幹を支える重要な技術であり、これを弱めることはわれわれの社会基盤そのものを脆弱にすることにつながるというより重大な懸念もある。

• DSpace@MIT: Keys Under Doormats: Mandating insecurity by requiring government access to all data and communications
• Berkman Center Report | Don't Panic: Seeking Points of Agreement on the "Going Dark" Debate

なお米国では州によって法規制の動きも見えている。今年になってニューヨーク州やカリフォルニア州ではスマートフォンに暗号解除の機能を義務づける法案が相次いで議会に提出された。これを受けて連邦議会では州レベルのこうした動きを禁止する法案 ENCRYPT Act of 2016 が提出された。州政府などが製造業者や事業者に対して、製品やサービスにユーザを監視するための変更を加えたり、暗号を復号するためのバックドアを要求することを禁止する内容だ。一方でこれとは逆にバックドアを義務付ける法案が連邦議会に提出準備中という話もある。今後しばらくはこうした動きが活発になるとみられる。

• House bill would kill state, local bills that aim to weaken smartphone crypto | Ars Technica
• How Tim Cook became a general in the new Crypto War

こうしたことから法執行機関や情報機関とテクノロジー産業とは利害が衝突しており、表向きは対立関係にあるといえる。技術的かつ政治的に重要なテーマであり、これは冷戦時代から現代まで続く対立の構造と言えるだろう。(こうした最近の背景についてはこちらの記事が詳しい。)

事件の概要

さて今回の事件の焦点は 2015年12月2日にサンバーナーディーノで発生した銃乱射事件の犯人の1人 Syed Rizwan Farookが使用していた iPhone 5c (iOS9) である。Farookは事件発生後の警察との銃撃戦の末に射殺されている。これまでの捜査でわかっていることの要点は以下のとおり。

• USBメモリ、PCのHDDデータは押収ずみ (どのような結果が得られたのかは不明)
• Farookが他に所持していた私用の2台の携帯電話は破壊されていた
• 対象の iPhoneは業務用のもので、所有者は勤務先のサンバーナーディーノ郡
• 対象の iPhoneとの接続を許可された PCはなかった (つまり iTunesなどでバックアップはとられていなかった)
• iCloudのバックアップは事件の 約1ヶ月半前 (10/19) が最新で、それ以降は無効にされていた
• iCloudのバックアップデータは Appleから FBIに提供された
• iCloudのパスワードは FBIの指示によりサンバーナーディーノ郡の担当者によってリセットされた (これによって新しいバックアップが取得される可能性はなくなった)
• バックアップデータの調査から、殺害された人物と犯人には接点があったもよう
• バックアップデータの調査から、端末の auto-eraseの機能が有効になっているもよう

このため、FBIは iPhone本体のデータの解析が犯人の動機の解明などに重要な手掛かりを与えると考えているものの、auto-eraseの機能が有効になっていると思われるため、安易にパスコードを試行してロックの解除を行うことができないでいた。auto-erase機能はパスコードを10回連続して間違えた場合に端末の全てのデータを自動的に消去する機能で、iOSの設定で有効にすることができるが、端末がロックした状態では有効か無効かを知ることはできない。
(2/21 更新：政府側から裁判所に提出された資料からわかった事実などを追記)

FBIの要求内容 (裁判所が命じたこと)

裁判所は次の事項について、Appleに対して FBIへの技術的なサポートを命じている。

• auto-erase機能をバイパスするか、または無効にすること
• パスコードを試行できるようにすること (物理的に画面をタップするのではなく電子的な手段で。USB接続、Bluetooth、WiFiなど)
• パスコード試行の間に意図的な待ち時間を発生させないようにすること
• 上記 3点を可能にするソフトウェアを作成して対象の iPhoneにロードすること
• 上記の手段によって iPhone本体の iOSおよびシステムデータ、ユーザデータを改変しないこと

iPhoneにはブート時のセキュリティチェック機能があるため、実行するソフトウェアには Appleの署名が必要であり、FBIは自分達でやることはできない。またFBIが要求しているソフトウェアはこの対象の iPhone 1台のみに有効なものであり、広くどの端末でも使えるものではない。なお裁判所は Appleがこの命令に対して不当な負担であると信じるに足る場合には、5営業日以内に申し出ることとしている。(後にこの期限は 2月26日までに延長された。)

技術的な説明

そもそも iOS7まではロックを解除せずとも Apple公式アプリ内のユーザデータ(暗号化されていない) を Appleは取り出すことができた。そのためこれまでも裁判所の正式な令状があれば Appleは当局にデータを提供してきた。昨年10月の別の裁判の記録によると、2008年以降 Appleは少なくともこのような令状を 70件は受理しているようだ。Appleが公開している 米国向けの Legal Process Guidelinesには次のような記述がある。

I. Extracting Data from Passcode Locked iOS Devices

For all devices running iOS 8.0 and later versions, Apple will not perform iOS data extractions as data extraction tools are no longer effective. The files to be extracted are protected by an encryption key that is tied to the user’s passcode, which Apple does not possess.

For iOS devices running iOS versions earlier than iOS 8.0, upon receipt of a valid search warrant issued upon a showing of probable cause, Apple can extract certain categories of active data from passcode locked iOS devices. Specifically, the user generated active files on an iOS device that are contained in Apple’s native apps and for which the data is not encrypted using the passcode (“user generated active files”), can be extracted and provided to law enforcement on external media. Apple can perform this data extraction process on iOS devices running iOS 4 through iOS 7. Please note the only categories of user generated active files that can be provided to law enforcement, pursuant to a valid search warrant, are: SMS, iMessage, MMS, photos, videos, contacts, audio recording, and call history. Apple cannot provide: email, calendar entries, or any third-party app data.

さて iOS8からはこれまで保護されていなかったユーザデータもパスコードによる鍵で保護されるようになった。iOSにおけるファイルの暗号化の仕組みは iOS Security Guideに詳しく説明されている。

これによると新しくファイルが生成されるとファイル単位の暗号鍵 File Keyが生成され、これは Class Keyで暗号化されてファイルのメタデータに保存される。Class Keyは Hardware Keyと Passcode Keyによって保護される。そのためパスコードなしではファイルを復号することはできない。たとえ Appleでもパスコードロックを解除することはできないため、データを復号して取り出すにはパスコードを解読する以外に手がない。

ちなみに図の File System Keyは何をしているかというと File Keyを含むメタデータを暗号化している。これはファイルの保護には役立っていなくて、データを削除するときに使われる。iOSの設定で全コンテンツを削除する場合やリモートワイプを実行する場合、実際にはこの File System Keyだけが削除されている。これによってメタデータを復号することができなくなり、各ファイルを暗号化している File Keyにもアクセスできなくなるので、ファイルの中身を復号することができなくる仕組みだ。

パスコードからの鍵の生成には端末固有の UIDも必要なため、パスコードの試行はその端末内で実施する必要がある。また鍵の生成には PBKDF2が使われており、処理におよそ80msかかるように Iteration回数が調整されている。そのため、1秒間に 12.5回のパスコード試行が限界で、もし仮に犯人が複雑なパスコードを設定していたら解読は事実上不可能だ。6桁の数字のみのコードであれば原理的には 1日以内で解読できる*1。(1,000,000 / 12.5 = 80,000秒 → 1,333分 → 22時間)

FBIによる解読が可能かどうかは犯人が設定したパスコードに依存するが、裁判所に命じられているようなファームウェアを作成して iPhoneにロードし、FBIがパスコードの解読を行えるようにすること自体は Appleには可能だろう。なお iPhone 5sの A7チップ以降には、さらに Secure Enclaveというコプロセッサによるセキュリティ保護機能が導入されているが、原理的には Secure Enclaveのファームウェアもアップデートしてしまうことによって同様の解読操作は可能になると思われる。
(Appleの Executiveの一人がこれを認めたとの報道がある。)
(2/21 更新：Class Keyに関する記述が不正確だったので訂正しました。ご指摘ありがとうございます。)

Appleの対応

裁判所からの命令が出されるとすぐに、Appleは CEOの Tim Cookの名前で公式声明をだした。
iPhone利用者のデータの保護には暗号化が極めて重要なこと、捜査当局には極力協力をしていることなどを述べつつ、結論としては命令に従うことを拒否する姿勢を示している。その主な理由は以下のとおり。

• 要求を満たすような特殊な iOSを作ることは、iPhoneにバックドアを作ることと同義である
• 今回のケースだけに利用は制限されるという保証はどこにもない、一度このようなセキュリティ機能をバイパスする技術を作ってしまったら、今後さまざまなケースで利用されることは明白で、すべての鍵を開けることのできるマスターキーを作るようなものである
• これまで顧客のデータを保護するために行ってきた我々の努力が水の泡になってしまい、顧客の安全を脅かすことになる
• 今回のケースを先例として認めてしまったら、Appleに対する政府の要求は今後さらにエスカレートする可能性がある

声明の最後は「FBIの意図は善良なものだと信じているが、我々に対して製品にバックドアを作るように要求することは間違っている。このような要求が政府が守るべき自由を脅かすことになるのではないかと我々は危惧している。」と結んでいる。

While we believe the FBI’s intentions are good, it would be wrong for the government to force us to build a backdoor into our products. And ultimately, we fear that this demand would undermine the very freedoms and liberty our government is meant to protect.

ここで注意しなければいけないのは、Appleはあえて「バックドア」という言葉を使っているものの、今回要求されていること自体はバックドアを作ることではない。ブルートフォース攻撃を可能にするだけなので、パスコードが解読できるかどうかはパスコードの複雑さに依存している。しかし Appleがここで言おうとしているのは、今回の要求を認めてしまうことで取り返しのつかない先例を作ってしまい、後戻りできなくなることへの懸念ではないだろうか。Appleに対してだけでなく、同様の要求が他の事業者にも行われることは間違いない。
また Appleは米国市民の自由を守る戦いであるかのように見せてはいるが、iPhoneなどのテクノロジー機器を顧客に売って多大な利益を得ている会社である。顧客のプライバシーやセキュリティを守るために政府と戦う姿勢を見せることはマーケティング戦略上も非常に重要と言えるだろう。米司法省も今回の Appleの対応をマーケティング戦略だとして非難しているようだ。

さまざまな反応

Google, Facebook, Microsoft, Twitterなどの主要なテクノロジー企業はおおむね Appleの対応を支持する姿勢を見せている。まあそれも当然で、彼等だって明日は我が身だし、自分達が政府寄りでユーザのプライバシーやセキュリティを軽視していると見られることは、たとえ事実と異なるとしても得策ではないだろう。またセキュリティの専門家なども当然ながらこの事件には注目している。技術的、政治的なさまざまな観点から米国のメディアの注目度も非常に高い。
しかし Appleの対応を批判する意見がないわけでもない。例えば辛辣なのものでは、Appleの今回の行動を完全な自己満足で無意味だと非難している。

• Reform Government Surveillance — Reform Government Surveillance Statement...
• Twitter’s Founder, Facebook Pledge Support For Apple As It Fights Court Order To Unlock iPhone | TechCrunch

今後の展開

とりあえず Appleは 2月26日までに裁判所に対して正式な回答をするはずで、命令を拒否する姿勢を貫くようであれば、裁判で争うことになる。今回の命令の根拠になっている All Writs Act の適用や、最高裁の判例 434 U.S. 159 (1977) などが争点になるのだろうか。Apple側は合衆国憲法修正第一条で保障されている表現の自由を論点にするという話もあり、このあたりは私には正直よくわからない。次回の公判は 3月22日に予定されている。

なお米下院のエネルギー商業委員会がFBI長官と AppleのCEOの両者に対して委員会の場で証言するように要請したようだ。また下院司法委員会も3月にヒアリングを予定しているらしい。もはや今回の事件は iPhone 1台の問題にとどまらず、より大きな暗号規制論の問題の象徴として捉えられている。今後の動きから目が離せない状況がしばらく続くだろう。

(2/21 更新) こちらの平さんのまとめ記事も非常にわかりやすいのでオススメです。
(2/28 更新) その後の1週間の主な動きについては別の記事にまとめました。