Wall Street Journal の テック記者 Nicole Nguyen と Joanna Stern は、Apple の問題ある iPhone セキュリティ判断の暴露記事の続編を出した。最初の記事で、彼らは人の肩越しに覗き見する盗人がどの様にユーザーのパスコードを発見し、iPhone を盗み、そして Apple ID パスコードを変更して Find My を無効にし、Apple Pay を使って買い物をしたり、iCloud Keychain にあるパスワードにアクセスし、そして Photos を繰っていき成り済ましの手助けとなる写真を見つけ出すことを可能にするやり方を示した ("iPhone のパスコードを盗まれるとデジタルライフを丸ごと奪われるかも" 26 February 2023 参照)。
別の記事 (有料) と付随のビデオで、Nguyen と Stern は今度はパスコード盗人がユーザーの Apple ID の復旧キーを変更した時どんな結果となるのかを探っている。この変更も再度 iPhone パスコードだけでなし得る。結論を言うと、盗人はその犠牲者を iCloud アカウントから閉め出し、場合によっては永遠に、大事な写真等々へのアクセスを阻止出来てしまう。Apple は同情的な反応をしたが、ユーザーが彼らのアカウントに戻るのを手助けして - 或いは手助け出来て - いない。
一つの復旧キーが全てを支配
問題は、盗人が復旧キーを設定、或いはリセットしてしまうと、一旦パスワードが失われてしまった後ではそれが Apple ID アカウントへのアクセスを取り戻す唯一の方法となってしまうことである - Apple は一旦そうなったら通常のアカウント復旧プロセスを通してではお役に立てないと言っている。Apple は、復旧キーを生成することがどの様に更なる責任をユーザーに負わせるかについては明言しているが、それは技術的に詳しい、きちんとしたユーザーにとっては我慢出来る範囲内の妥協でしかない。
Cameron Devine の iPhone 13 Pro が8月に Boston のバーで盗まれた後、この 24 才の男性は 10 年にも及ぶデータに対するアクセスを取り戻すために Apple の顧客サポートと何時間も電話で話をしたと言った。どの係員も彼に同じことを言った:復旧キーが無ければ、アクセスは無し。Mr. Devine 曰く、そんなキーの話は聞いたことが無いし、ましてや設定したことなんか無い。
この記事はもう一つの例を挙げていて、その人の場合、Apple はその復旧キーを無効にしユーザーにアカウントへのアクセスを取り戻させたと言う。Apple はこの状況に関するコメントを控えているが、このユーザーはある種の Apple "ビジネスサービス" を使ったと報じられており、彼の iPhone は機器管理サービスに入っていて通常ユーザーの iPhone とは違うことが想像される。
私は、復旧キーが Apple の Platform Security Guide の中でどの様に働くのかに付いての詳細説明を見つけることは出来ていないが、私の理解では、それは基本的に Apple の通常のアカウント復旧オプションに取って代わってユーザー管理暗号キーの第二コピーとして働くというものである。
終端間暗号化を有効にするには、例えば、Apple の iCloud に対する Advanced Data Protection の様な、ユーザーはその暗号化キーを生成し維持しなければならない ("Apple の Advanced Data Protection、iCloud データで暗号化キーをあなたの手に" 8 December 2022 参照)。Apple の世界では、それ等のキーは自動的に生成され Secure Enclave に保存され、そしてその紛失に備えるため、Apple は Advanced Data Protection を有効にする人は誰でもアカウント復旧連絡先を指名するか、或いは復旧キーを設定することを必要とする。それが必要となるのは、Apple はその暗号化キーを管理せずそしてそのパスワードが失われたり、盗人にリセットされたりした場合、ユーザーがアカウントに入る手助けをする事が出来ないからである。
Wall Street Journal 記事はどの様に被害者が色々な形の身元証明を使って自分のアカウントの所有権を証明しようとするかに付いて語っているが、それは的外れである - 身元証明が問題なのではない;データは単に Apple が管理するキーを使って暗号化されていないが故にアクセス出来ないのである。
究極の解決策はパスコードの力を減少させることに行き着く。我々は、強い、一つしか存在しないパスワードを作るよう常に言われるが、詰まる所、多くの人の生活の中で最も大事な機器は6桁のパスコードでしかないないものでロックされている。Apple は追加の認証を課することでユーザーをパスコード盗難のよりひどい悪影響から守ることは可能であろう - 例えば代替策としてパスコード無しに Face ID や Touch ID を使うとか - Apple ID パスワードや復旧キーオプションをリセットするのを誰かに許してしまう前に。
その様に言ってしまうのは簡単だが、細々した厄介な点が多数あるのは私も十分に承知している。Apple は強いセキュリティと、アカウントへのアクセスを失ったユーザーを助けることが出来ることとの間の紙一重の所を歩いている。Apple は、パスコードと iPhone を盗まれてしまう人達が比較的少ないことと、Apple ID パスワードを忘れてしまいそして他には Apple 機器を持っていない多数のそして余り技術に長けていないユーザーが直面する問題とを天秤にかけているのであろう。他方、Apple は、ほんの僅かな高価値の標的だけに使われるかもしれない脆弱性に対してのセキュリティアップデートを頻繁に出して全ての人に不便をかけることを厭わない。セキュリティは常にバランスを取る行動である。
現時点で最も良い保護は、私の前の記事でも論じたように、Screen Time を使うことである。Screen Time を有効にすると、4桁の別の Screen Time パスコードを設定することになる。Content & Privacy Restrictions, に行き Account Changes > Don't Allow を選択する。このパスコード無しでは、盗人はあなたの Apple ID パスワードや復旧キーオプションを簡単に変えられない。
不幸にして、Screen Time パスコードは最初に Settings > Screen Time > Content & Privacy Restrictions > Account Changes > Screen Time Passcode > Allow に行かないと、 変更するために Settings > Your Name に入らせてくれず、その対象はあなたを含む全ての人となる。また、終わった後は、そのオプションを Don't Allow に設定し直す必要がある。もし Apple が iOS 17 を微調整して、その阻止されたオプションにアクセスする時、二次的なセキュリティチェックとして Screen Time パスコードを求めるようにしてくれたら、この方法をお薦めするのももっとやり易くなるであろう。
より問題があるように見えるのは、Screen Time パスコードを無効にする過程で Apple ID パスワードをリセットすることは可能なのではないかと私は思っており、そうなるとアカウント変更上の Screen Time 制約はバイパスされてしまう。報じる所によると Apple はこの脆弱性の幾つかに iOS 16.4.1 で対応していると言うが、パスコード以外には何も知らずに、私の Apple ID パスワードを変更出来た。私の試験は自分が望むほどには完全ではない。何故ならば、私の Apple ID を何日間もロックしてしまう危険性をはらんでいたからだが、Apple がここでもっとやるべきことを抱えていることは間違いない。
Mac 上の Photos をオリジナルをダウンロードするよう設定し、そしてそれ等のオリジナル画像がバックアップ戦略に含まれていることを確認する。バックアップ戦略には、少なくとも Time Machine とオフサイトバックアップが含まれ、そして出来ればブート可能な複製も含まれているべきである。それら全てをやるためには十分な空き容量が必要となるであろう;もしそれが問題であれば、Photos Library を外付けハードドライブに移行させることも出来る。
Google Drive に関する作業の多くはブラウザの中でしている。私の場合、ウェブベースの Google Docs の中でファイルを開いているからだ。けれどもそれ以外にも、さまざまの種類の重要なファイルや、頻繁に使う独立のファイルを Google Drive の中に保存している。だから、Drive for Desktop をインストールすることでそれらのファイルに Finder からアクセスできるようになり、他のデバイスにも自動的に同期されるようになるのがありがたい。(この話題について一般的なことは、2023 年 3 月 10 日の記事“Apple の File Provider、Mac のクラウドストレージに変更を強いる”をご覧頂きたい。)
Peter Lewis のこのマクロユーティリティなしに Mac を使うことなど私には考えられない。TidBITS でも長年にわたって記事にしてきた。これは、私の仮想の手の延長のように感じられるほんの少数の不可欠なアプリのうちの一つだ。数え切れないほど多くのキーボードショートカットが私の指先に配線されているし、特に F-キーたちを最も頻繁に使ういくつかのアプリに割り当てている。Keyboard Maestro がインストールされていなければ私はすぐにそれと分かる。
この素晴らしいスクリーンショット用アプリを私はぜひレビューしたいものだと思っている。スクリーンショットで Command-Shift-5 を超える機能を、例えば注釈や、スクロール操作のキャプチャ、セルフタイマー、照準線、その他のオプションをどっさり欲しい人は、CleanShot X を一度試すとよい。
私は長い間、物理的サーバを監視する必要を感じないでいた。けれどもこれまでソーシャルメディア方面に聞き耳を立ててくれていた Josh がいなくなって、重要な Apple ページが変更されればそれを知らせてくれるものが必要になった。自分の望むやり方で動作するよう Simon を設定するには思ったより時間が掛かったけれども (これこそまさに柔軟性を突き詰めれば複雑さを生む実例だ)、今では監視対象のページが変更される度に通知が届くようになったし、クリック一つでその内容をブラウザで読めるようになった。Simon は Mac が稼働中にしか動作しないけれども、私の目的にはそれで十分だし、実際のコンテンツが変わってもいないのにページそのものの変化に惑わされてしまう Visualping サービスに比べて遥かに使い心地が良い。
As much as I’ve been a dedicated LaunchBar LaunchBar を長年使ってきた私だが (何十年間使ったことだろうか)、他の製品にも目を配るのが自分の責務だと思っている。Raycast は LaunchBar と同じようなキーボードベースのランチャーで、好きな略語が使える。これもまた LaunchBar と似ているが、Raycast は多種多様な方法で拡張することができ、これまで LaunchBar で使ってきた方法とかなり違うのでもう少し使い続けてみようと思っている。これもまた、レビュー記事の予定の一つだ。
実際のスプレッドシートの作業には Excel を使うよりも Google Sheets を使う方が私は好みだ。ただ、陸上競技レースへの登録情報スプレッドシートをダウンロードし細かな手直しをしてから共有するといった必要がよくある。そういう使用事例が起こったので、私は Microsoft 365 スイートをダウンロードした。それからまた TCN に配送する作業のために毎月 Word を使う必要がある。でも PowerPoint や Outlook は全く使わない。Tonya は私よりもずっと頻繁に Word や Excel を使っているので、私たちにとって Microsoft 365 を購読する価値は十分ある。
私は長年 HP Color LaserJet Pro MFP M477fdw と格闘してきたので、Apple のドライバを使って一からプリンタのセットアップをしてから、最初に書類の印刷を試みて File Is Corrupt エラーが出ても別に驚かなかった。以前の記事“LittleBITS: watchOS 8 誕生日メッセージ、プリンターの困った問題”(2021 年 12 月 3 日) に書いたように PostScript ドライバをいじくり回す方法もあったのだが、私はそれよりも HP から直接手に入るものをインストールしてみようと思った。そのために HP Easy Start アプリをダウンロードして走らせる必要があったけれども、どんなドライバがインストールされたのかは知らないがその後印刷はすべて問題なくできるようになった。