ハクソク

世界を動かす技術を、日本語で。

Apple、警察がiPhoneから削除されたチャットメッセージを抽出するために使用していたバグを修正

17日前原文(techcrunch.com)

概要

AppleはiPhoneとiPad向けに、削除済みメッセージの通知内容が端末に残るバグを修正するアップデートを公開。 このバグにより、法執行機関が削除済みメッセージを抽出できていた事例が判明。 Signalなどのメッセージアプリ利用者のプライバシー懸念が高まる。 Appleは古いiOS 18にも修正を適用。 プライバシー保護の観点から注目を集めている問題。

Apple、削除済みメッセージ通知のバグ修正

  • Apple がiPhoneおよびiPad向けに ソフトウェアアップデート を公開
  • 削除済みや自動消去された メッセージの通知内容 が端末に最長1か月間キャッシュされるバグの修正
  • Apple公式セキュリティ通知 によると、「削除対象の通知が予期せず端末に残る」問題が発生していた
  • このバグにより、 法執行機関 が削除済みメッセージを抽出可能だった事例が明らかに
  • 404 Media がFBIによるSignalメッセージ抽出事例を報道

Signalとプライバシー保護の懸念

  • SignalWhatsApp などのメッセージアプリでは自動削除タイマー機能を提供
  • 削除済みメッセージの通知内容が iPhoneのデータベース に残ることで、プライバシーリスクが発生
  • Signalの Meredith Whittaker 氏がAppleに問題解決を要請
  • 「削除されたメッセージの通知が OSの通知データベース に残るべきではない」と指摘
  • プライバシー活動家やリスクユーザーの間で 懸念が拡大

Appleの対応と今後の課題

  • Appleは iOS 18の旧バージョン にも修正を適用(バックポート対応)
  • なぜ通知内容が記録されていたかは 現時点で不明
  • Appleは 本件に関するコメント を控えている状況
  • プライバシー保護機能の信頼性向上が今後の課題
  • 法執行機関による端末フォレンジック への対策強化が求められる

取材・連絡先情報

  • Lorenzo Franceschi-Bicchierai (TechCrunchシニアライター)が本件を取材
  • 追加情報の提供は Signal(+1 917 257 1382)Telegram/Keybase(@lorenzofb)メール(lorenzo@techcrunch.com) で受付
  • Lorenzoは ハッキング、サイバーセキュリティ、監視、プライバシー 分野を担当

Hackerたちの意見

Signalは「メッセージを受信しました」という一般的な通知を使うオプションを提供してるから、これは基本的に良いプラクティスだよね。

どのアプリもそうだよ。iOSの設定 > 通知 > プレビューを表示 > 絶対に表示しないに設定すればいい。

あ、これについて最初は混乱してたんだ。プッシュ通知はエンドツーエンドで暗号化されてると思ってたから、プッシュ通知サービスが読み取り可能な形でキャッシュできないはずだし、通知を受け取ったときにデバイス上のアプリだけが復号するんだと思ってた。でも、アプリが通知を復号してOSのAPIを使ってユーザーに表示した後、通知の内容がデバイスのローカルにある何らかの通知履歴DBに保存されるみたいなんだよね。

そんな感じかな。

プライバシーの話では、これはずっと知られてたことだよ。GoogleやAppleはしょっちゅう通知内容をサーバーに送信するから(つまり、アプリの領域をバイパスしてる)。これについて話してる人もいるよ(違うけど同じ問題の範疇で):https://blog.davidlibeau.fr/push-notifications-are-a-privacy...

報告されたケースでは、内容はデバイスから出ていなかった。連邦捜査官が直接電話から取得したんだ。

Signalは通知データをAppleに送る前に暗号化して、デバイス上でNotification Service Extensionを使って復号してると思う。これはAppleに敏感なデータを信頼しないための一般的なパターンだよね。つまり、Appleは復号後にクリアテキストをデバイスに保存してたってことになる。

  • SnapchatやWhatsAppみたいなメッセンジャーもそうだよ。「エンドツーエンド」暗号化(WhatsAppの場合)されてるにも関わらず、キーワードに基づいて一部のメッセージのコピーを当局に送信してるんだ、PRISMみたいに。公式には子供を守るためって言ってるけど、そのキーワードリストに何が含まれてるかは誰にもわからないよね。

ありがたいことに、Appleはその修正をiOS 18にも適用してくれたよ。

それだけじゃなくて、iOS 18.7.8は実際にiOS 26を実行できるデバイスにワークアラウンドなしで利用可能なようだね。18.7.3から18.7.6とは違って。中間リリースが本当に利用可能だったのか、それとも配布側の問題で誰も修正しなかったのか気になるな。

これはデバイスにキャッシュが残るバグだったんだ。AppleとGoogleはほとんどの通知の中間に入っていて、内容が彼らのサーバーを通過するから、政府からの無許可の盗聴や、監視を支えるインフラへの第三者からの攻撃の影響を受けることになる。もしエンドツーエンドのメッセージを他の人に見られたくないなら、通知を「メッセージがある」だけ表示するように設定して、内容や送信者は表示しないようにしよう。

AppleとGoogleはほとんどの通知の中間に入っていて、内容が彼らのサーバーを通過するから、政府からの無許可の盗聴や、監視を支えるインフラへの第三者からの攻撃の影響を受けることになる。 >もしエンドツーエンドのメッセージを他の人に見られたくないなら、通知を「メッセージがある」だけ表示するように設定して、内容や送信者は表示しないようにしよう。これは二つの点で間違ってるよ。1. 引用文の直前に書かれていることによれば、問題はOSが通知をローカルで追跡していることなんだ。Google/Appleの通知サーバーはこれとは関係ない。2. Google/Appleのサーバーを通さざるを得なくても、通知のデータを暗号化したり、メッセージデータを全く含めなかったりすれば、エンドツーエンドのメッセージングは可能だよ。実際、シグナルはそうしてる。AppleやGoogleは君のメッセージをクリアテキストで見ることはないんだ。

何か敏感なことを扱うなら、Signalみたいなアプリを使った方がいいよ。そうすればメガコープのエコシステムをあまり気にしなくて済むから。

AppleとGoogleは、アプリがメッセージを表示する前にそれを傍受して修正する機能を提供してるよ。それを使って暗号化されたメッセージを送信して、ユーザーのデバイスで自分のコードを使って復号化すればいいんだ。

そうだね、これはGoogleとAppleのOS通知APIのことだし、私たちは平文のメッセージを渡してるよ。

記事で話されている「バグ」は問題の一部に過ぎない。主な問題は、通知のテキストがシグナルの外にある電話のDBに保存されることなんだけど、それには触れられていない。それを避けるには設定を変更する必要がある。この場合、被告はシグナルアプリを完全に削除していて、そのためにアプリの通知がDBから削除されるように内部でマークされる可能性が高い。だから、ここで修正されたバグは、通知を生成したアプリが削除されたときにローカルデータベースから通知を削除していなかったことなんだ。今はちゃんと削除されるようになった。影響:削除マークされた通知がデバイスに予期せず残る可能性がある。説明:データの赤外線処理を改善したことでログの問題が解決された。CVE-2026-28950。彼らはこれを「ログの問題」と分類しているから、通知が実際にデータベースにあったわけではなく、何らかのログに残っていたようだね。

君は推測してるね。「削除マークされた」というのは、アプリ全体を削除した後だけでなく、通知を消した後にも意味するかもしれないよ。

SQLite WALって何?

なんで同じじゃないと思うの?

これが気になるんだけど、Cellebriteは法執行機関向けにiPhoneに侵入するためのツールを作っていて、弱点や脆弱性を利用しているみたい。AppleはCellebriteのツールを買って逆エンジニアリングしてるのかな?それとも合法的に入手する方法がないのかな?

Appleは今、Mythosにアクセスできると思う。ハッキングツールを逆エンジニアリングするために使うべきだとは言わないけど、今はアクセスできるってことだけは言っておくよ。

Cellebriteは、Apple Storeでのデータ転送とかに使う低価格のデバイスをAppleに直接売ってるんだよね。それ以上のものはAppleには売られないと思う。

注意して!iOS 18のアップデートがリリースされたよ(いいね!)でも、これを覚えておいてね:iOSをアップデートするとiOS 26への自動アップデートが有効になるから。(悪いね!)これは、iOS 18のユーザーにiOS 26をインストールさせようとしてる新しい怪しい戦術だよ。

警告ありがとう!

これはすでに18.7.7の時点でそうだったよ。ただ、18.7.7で自動アップデートをオフにした後、18.7.8にアップデートしてもオフのままだった(いくつかのデバイスで再現できたよ)。もしかしたら、一度オフにしたらその後のアップデートで自動的にオンにならないフラグが設定されてるのかもね。

どんな手を使ってもiOS 26は避けて!工場出荷時設定に戻す必要があって強制的にアップデートさせられたけど、すごくバグが多いよ。Liquid Glassのデザイン決定について文句を言ってるわけじゃないけど、それはどうでもいい問題で、カメラアプリを開いたりキーボードを閉じたりする基本的な作業でさえ、電話が頻繁におかしくなるんだ。元に戻すべきだよ。

プッシュ通知が不安定だってことは新しいことじゃないよね。内容がアプリのサンドボックスの外を通過して、たぶん保存されるから。Appleはこれをずっと前に修正すべきだった(クローズドシステムを信じられないけど)。でも、Signalもプッシュ通知にメッセージ内容を許可する際には、しっかりしたガードレールと警告を設けるべきだよ。

「これは、メッセージの内容を表示する通知がデバイスに最大で1ヶ月間キャッシュされていたからです。」じゃあ、なんでAndroidみたいに通知履歴がないの?不要な通知を消しちゃった時とか、昔の情報を探すのにすごく便利なのに。