Apple は今週の WWDC 2021 のプレゼンテーションに少し爆弾を落とした: iOS 15 では、iPhone にユーザーの家の鍵、ホテルの部屋の鍵、職場の ID カード、そして最後に重要なこととして、運転免許証やその他の政府発行の身分証明書のデジタル バージョンを保持できるようになります。 Apple Walletアプリの登場で、私たちはあなたの物理的な財布を置き換えることになりました」と、AppleのWalletおよびApple Pay担当バイスプレジデントであるジェニファー・ベイリーは語った。 Bailey が指摘したように、Wallet はすでにタッチレス クレジット カードや交通系カード、一部の最新車両のワイヤレス キーフォブ コードを「保持」できます。
“しかし、物理的な財布を完全に解放するために、iPhone に持っていく必要があるものがもう 1 つあります。あなたのID」とベイリーは言った. 「それで、私たちは Apple Wallet に ID カードをもたらします。」
“この秋、参加している米国の州で運転免許証または州の身分証明書をスキャンするだけです」とベイリー氏は述べたが、州の名前は挙げなかった. Apple は、今後数週間から数か月以内にリストをリリースする可能性があります。
Baileyは、Appleが協力していたことも付け加えた交通安全管理局 (TSA) は、デジタル ドライバーのiPhoneに保持されているライセンスは、米国国内線に搭乗するための身元証明として受け入れられます.
Appleのプレスリリースは、プレゼンテーションの後に特定の大文字で「IDカード」に言及しましたが、かどうかははっきりしませんでした機能の正式名称です。ベイリーはほとんど「ID」について言及していた.
デジタルミッションクリープ?セキュリティの専門家が検討します
では、iPhoneを身元確認の主要な手段にすることは本当に良い考えですか?それがスマートフォンの目的ですか?
私たちが話したセキュリティとプライバシーの専門家の中には、心配していなかった人もいました.
リスクの観点から、携帯電話に暗号化して保存されたデジタル ID は、いくつかの点で物理 ID よりも安全です。
Sean Gallagher、Sophos
「ユーザビリティの観点から、私は感激しています」と、有名な Mac ハッカーであり、Objective by the Sea セキュリティ カンファレンスの創設者である Patrick Wardle 氏は述べています。 「[私は] 旅行中に ID を調べる必要があり、紛失を心配するのが嫌いです。携帯電話に ID を入れておくのは簡単なことのように思えます。」
“リスクの観点から、デジタル ID は保存されます。スマートフォン (およびクラウド) で暗号化することは、物理 ID よりもいくつかの点で安全です」と、ソフォスのシニア脅威リサーチャーである Sean Gallagher は述べています。盗まれたり紛失したりすると、政府発行の身分証明書を管理できなくなります」とギャラガーは付け加えました。 「携帯電話を紛失した場合、少なくとも他のすべての機密情報と一緒にウォレットをリモートで削除できます。それはパスコードで保護されています (またはそうすべきです)。」
しかし、Thomas Reed、ディレクターMalwarebytes の Mac とモバイル セキュリティは、デジタル ID のアイデアについてそれほど楽観的ではありませんでした。
「Apple は、この点について多くのことを考えています」と彼は語った。 「Apple がこれらのデジタル ID を安全かつ非公開にすることは可能だとは思いますが、正しく設定するのは非常に難しいでしょう。」
ID カードとしての iPhone: それは避けられないことでした
Apple の新機能が一部の人々を恐怖に陥れる理由が分かります。 パスワード マネージャーなど、他のデジタル デバイスやサービスでは、すでに情報を保存できます。バックアップとして安全に運転免許証から。
しかし、物理的な運転免許証を完全に置き換えることができるデジタル製品について聞いたのはこれが初めてです。 iPhone を身元の証明にすることは、未知の領域のようです。 Apple は政府に取って代わり、個人のアイデンティティの究極の権威としての地位を確立していますか?
「これが引き起こす不安な気持ちは理解していますが、これは避けられないものでした」と、ソフォスのシニア セキュリティ アドバイザである John Shier は述べています。 「何百万人もの人々がしばらくの間、Apple Pay や Google Pay などの機能を問題なく使用しています… 実装が十分に安全で、銀行やカード発行者から信頼されれば、他の用途でのテクノロジーの正当化となります。」
「アップルが政府機関に取って代わったり、政府機関の機能を引き継いでいるとは思わない」とシャイアー氏は付け加えた。 「彼らはデータを一元的に保持しておらず、文書を発行していません。彼らは単に、物理的な ID をデジタルで保存する安全な方法を人々に提供しているだけです。」
デジタル ID は新しい IDea ではありません
スマートフォンで保持できるデジタル運転免許証は、新しいアイデアではありません。 USA Today はそれらについて詳しく書いています2 年以上前に、「12 の州が、スマートフォンで動作するモバイルまたはデジタルの運転免許証をテストするさまざまな段階にある」と報告しています。
物理的な ID を TSA エージェントに渡すとき、彼らはあなたをどうしますか?スキャナー・カメラに入れて! Apple Wallet は、スキャン プロセスをジャーニーのかなり早い段階に移動するだけです。
Melanie Ensign, Discernible, Inc
The American Association of Motor Vehicle Administrators (AAMVA) には、世界中のこのような方針に沿ったさまざまな取り組みを詳しく説明するページがあります。 国際的に合意されたデジタル運転免許証の標準。
実際、Apple はここで追い上げを図っています。 Qualcommが2019年にからかわれたこのような Android 携帯電話向けの機能について Google と協力しており、Google は今年 10 月に モバイル運転免許証の API が Android に組み込まれました11.おそらく、それは開発者がサードパーティの ID アプリを作成できるようにするためです。
「物理的なカードの代わりにデジタル ID を使用している同様の実装がヨーロッパですでに存在します」と Shier 氏は Tom’s Guide に語っています。 「Apple がデータにアクセスできることに不安がある場合、それがセキュア エレメントにのみ存在するという事実は、そのような不安を和らげるはずです。」
A単一障害点
現在、Apple がこの問題について Google の前に出ていると言っても過言ではありません。次の質問に行き着くのは次の質問です。iPhone (そしておそらく間もなく Android フォンも) をあなたのアイデンティティ全体の核心にしたいですか?家、車、オフィス、生活のすべての鍵をこれに入れたいですか?単一障害点を作りたいですか?
「財布を持ち歩くということですか?」セキュリティとプライバシーに関するコミュニケーション会社 Discernible, Inc. の創設者 Melanie Ensign は、「現在の認証メカニズム/ベクトル自体を大幅に変更するものではなく、プロセスをスピードアップするだけです」と尋ねました。物理的な ID を TSA エージェントに渡しますが、彼らはあなたに何をしますか?」彼女は尋ねた。 「スキャナー/カメラに入れてください! Apple Wallet は、スキャン プロセスを旅のかなり早い段階に移動するだけです。」
おお、Appleのイベントだ! Apple Wallet はドアのロックを解除して政府発行の身分証明書を保持する機能を追加しているようで、デバイスを 1 つ失うだけでホテル、自宅、オフィスから自分自身をロックアウトし、フライ禁止リストに自分を入れるという私の夢を実現しています。2021年6月7日
Appleの目標は、自分自身をユーザーにとって不可欠なものにすることであり、Apple Walletの新しい機能Apple エコシステムへのさらなる顧客ロックインを作成します。アプリ、メール、クレジット カード、そして車を運転して飛行機に乗るという非常に能力が Apple と結びついている場合、別のスマートフォン プラットフォームに切り替えるのははるかに難しくなります。
「テクノロジー自体をそんなに心配しているかはわかりませんが、人々がテクノロジーに頼りすぎるのではないかと心配しています」とシャイアー氏は語った。 「財布や鍵を持たずに家を出ることが日常的にあるとしたら、空港に向かう途中で携帯電話のバッテリーが切れたらどうなるでしょうか?」
一方、彼は次のように指摘しました。旅行中に財布に入れておけば、少なくともアイテムの支払いをして、家に帰って書類を交換してもらうまで、身元を確認することができます。」
デジタル ID をハッキングできますか?
ベイリーはプレゼンテーションで、これらの貴重な文書とデジタル認証キーはすべて iPhone の Secure Enclave ハードウェア チップに保持されると述べました。
これらをハッキングするのはかなり難しいですが、iOS をハッキングするのは一般的にそれほど難しくありません。iPhone の画面に運転免許証が表示されれば、別のアプリがそれを表示できる可能性があります。
これを実際に見てみましょう。スマートフォン、家の鍵、車の鍵、運転免許証がすべて 1 つのアイテムである場合、iPhone を紛失またはハッキングされた場合 (実際に発生した場合)、深刻な問題が発生する可能性があります。
“このイニシアチブは、プライバシーとセキュリティに関して今のところ正しいと思われる企業が主導することを望みます。 、いずれかで素晴らしい実績を持たない個々の地方、州、または連邦政府にそれを任せるのではなく.」
ジョン・シアー、ソフォス
にもかかわらず、ウォードルは落ち着いています。プライバシーの観点から言えば、iOS の物理的なセキュリティは非常に優れているため、夜もぐっすり眠れます」と彼は Tom’s Guide に語っています。
「もし私の iPhone が盗まれても、私の『デジタル ソウル』がすべて (そして今では ID も?) 持っていることを確認してください。ただし、あなたが $100 万以上の FBI でない限り、あなたは泥棒にとっては、その時点では比較的役に立たない紙の重さです」
それは、泥棒が電話をどのように正確に入手するかによるかもしれません。 Gallagher 氏は、「デジタル ウォレットを選択できるようにする」「ソーシャル エンジニアリング手法と技術手法を組み合わせた方法」について疑問に思いました。
「基本的な電話のプライバシー対策に従えば、その可能性ははるかに低くなります」と Gallagher 氏は述べています。 「でも、誰かが電話のロックを解除し、それを手から奪って逃げるように説得する姿は想像できます」
ウォードルのように、シアーは技術的な側面について心配していません。 Apple は、能力の低い組織の代わりに、これを行っています。
「これのセキュリティとプライバシーの側面は、実証済みでしっかりしていると思います」 「ほとんどの場合、物理的な形でしか使用したことのないアイテムのデジタル表現を使用することで、個々のユーザーが快適に過ごせるかどうかにかかっています。」
「いくつかの点で」とシャイアー氏は付け加えた。地方自治体、州政府、連邦政府のいずれかで優れた実績を持っていないのです。”
どうですか? Apple ID カードを警察に見せるということですか?
では、もっと実用的な問題があります。リードは、警官があなたを連れてきて、あなたが見せる必要があるのはデジタル運転免許証だけだったらどうなるのだろうと考えています.
その手順は「通常、私の免許証と保険証を渡すことを含みます。リードはトムのガイドに指摘した.
「これはデジタル運転免許証でどのように機能するのですか?警察官を含む誰でも」と彼は言った。 「Apple は、運転免許証や、保険証などの重要な身分証明書を保護する方法を見つける必要があります。」
警察は通常、人物に PIN を開示させるために令状を必要とします。パスコードが必要ですが、一部の米国の裁判所は、警官が指紋で携帯電話のロックを解除するよう強制できると判断していますいずれにせよ、Apple が電話のロックを解除せずに ID データを送信する方法を開発するのが最善かもしれません。
「多くの人は、電話を警察官に渡したり、 TSAエージェント」とシャイアー氏は語った。 「携帯電話を受信機でタップして、要求元に情報を表示できるようにするのは良い考えです。」
AppleのIDカードは偽物の作成を容易にしますか?
Appleが手順を説明したように、運転免許証をWalletにインポートするために必要なことはそれをスキャンすることだけですあなたのiPhoneで。それが本当にすべてだとしたら、アメリカ中のティーンエイジャーが自宅で偽のIDを印刷してウォレットにインポートし、バーで飲むことができるようにするだろうか?
“Apple は、ライセンスが本当にあなたのものであり、それが有効であることをどのように検証しますか? これは、ID の盗難や偽の ID の作成の新しい手段になるのでしょうか?”
Thomas Reed, Malwarebytes
または、Reed が指摘したように、iPhone で誰かの ID を盗むことさえできますか?
「誰かが自分のものではない運転免許証をスキャンしたり、偽の ID をスキャンしたりする可能性があります」と彼は私たちに話しました。 「Apple は、ライセンスが本当にあなたのものであり、それが有効であることをどのように検証しますか? これは、ID の盗難や偽の ID の作成の新しい手段になるのでしょうか?」
州がすでに保護策を構築している可能性はあります。物理的な運転免許証に。
「これにバーコードの写真が含まれていれば、偽造するのがはるかに難しくなります」とエンサイン氏は述べています。 「認証には QR コードを常に使用しています。さらに、もしそれがあなたの iPhone 上の他のデータに接続されている場合、物理的な ID カードだけよりもはるかに優れた認証です。」
「私はそうは思わない。偽の ID の作成を防ぐための Apple の責任」と Shier 氏は述べています。 「発行機関が文書の偽造を容易にしすぎている場合は、文書のセキュリティ機能を改善する方法を再検討する必要があります。テクノロジー企業と協力して、正当なものとして認識される文書に偽造防止メカニズムを埋め込むことさえできます。 Apple による」
長期的なプライバシー ゲーム
Ensign は、Wallet デジタル ID の導入により長期戦になると述べた
「Apple が過去数年間、プライバシーと信頼を重視してきた理由がますます明らかになってきている。評判の価値」と彼女は言った.
「彼らはこれが来ることを知っていたし、それを機能させるには公衆の信頼が必要だった」とエンサインは付け加えた. 「これは長期的な賭けでした。忍耐力の低い企業は決して成功しませんでした。」
