GrapheneOSとフォレンジックデータ抽出（2024）

• GrapheneOSは高いセキュリティとプライバシーで注目されており、iOSに匹敵する水準
• 2024年5月、ソーシャルメディア上でGrapheneOSがデータ抽出に脆弱だとする虚偽の攻撃が発生
• CellebriteのようなフォレンジックツールはほとんどのAndroid/iOS端末で非同意の抽出が可能だが、GrapheneOSは最新のセキュリティパッチが適用されていれば突破されない
• Consent-based データ抽出は、ユーザーが自分の所有する端末のロックを解除する場合であり、このときのみ抽出が可能
• Pixel 6以降とGrapheneOSの組み合わせは、パスワード総当たり攻撃やUSB接続ハッキングなど最新の攻撃も防ぐ

GrapheneOSの概要とソーシャルメディア攻撃の背景

• GrapheneOSはAndroidベース、オープンソース、セキュリティおよびプライバシー重視のOSで、iOS並み、あるいはそれ以上の保護性能を提供
• 2024年5月、ソーシャルメディアでGrapheneOSがフォレンジックツールに突破されたという誤解を広める攻撃が発生
• 実際には、ユーザー同意（consent）ベースのデータ抽出事例を悪意をもって曲解し、GrapheneOSが脆弱であるかのように誤って伝えた事例

デジタルフォレンジックとデータ抽出の概要

• デジタルフォレンジックとは、電子的証拠の収集および分析のプロセス
• このプロセスでは、コンピューター、スマートフォン、記憶媒体などさまざまな機器から犯罪証拠や法的紛争に関する資料を抽出・分析する
• しかし、フォレンジック技術はプライバシー侵害、報復、証拠改ざんなどのために悪用される可能性がある
• GrapheneOSは、非同意のデータ抽出および端末改ざんの防止を目的として、さまざまなセキュリティ対策を開発している

Cellebriteとその影響

• Cellebriteはイスラエル拠点の代表的なデジタルフォレンジック企業で、UFED（Universal Forensic Extraction Device）というツールで知られる
• 政府や司法機関に合法的に機器を販売しているが、権威主義国家や人権弾圧国家にも販売されている
• このツールにより、世界各地でスマートフォンのデータ抽出が試みられている

データ抽出方式と技術的背景

• デジタルフォレンジックの第一段階は、モバイル端末のデータ抽出
• 端末がロックされている場合、さまざまな方法（ハッキング、総当たり）でパスワード/PINの推測が試みられる
• スマートフォンには2つの状態がある:
  • BFU (Before First Unlock): 起動後に一度もロック解除されていない状態で、内部データが完全に暗号化されており、フォレンジック分析は非常に困難
  • AFU (After First Unlock): ロック解除後の状態で、鍵がメモリ内に保存されているため、データアクセスが比較的容易

実際のデータ抽出実務

• AFU状態: ソフトウェア脆弱性などを利用して回避、またはスクリーンロック解除後にデータ抽出を試行
• BFU状態: PIN/パスワードをブルートフォース（全組み合わせ試行）で当てようとする

Cellebriteの最新データ抽出能力

• 2024年4月に公開された資料によると、GrapheneOSを除くすべてのAndroidブランドについて、AFU・BFU状態を問わずハッキング・抽出が可能

• 最新のiOS端末についても一部対応しており、ほとんどのiPhoneユーザーには自動で最新パッチが適用されるため、リスクは低減される

• NSO（Pegasusの開発元）は、iOS最新バージョンの脆弱性を非常に迅速に悪用した事例がある

• GrapheneOSは2022年末以降のセキュリティアップデートが適用されている場合、Cellebriteでさえハッキング不能であると公式に認められている

• アップデートは自動で有効化されているため、大半のユーザーは最新のセキュリティ水準を維持している

• ただし、ユーザー自身がロックを解除した場合（Consent-based）は、iOS、Android、GrapheneOSのいずれもデータ抽出が可能

  • GrapheneOSでは開発者向けオプションおよびadbツールを用いて全データにアクセス可能

• Pixel 6以降のモデル + GrapheneOSでは、6桁PINの無作為な組み合わせであってもブルートフォースで突破できない

ソーシャルメディア攻撃事件と実態

• 2024年5月、ソーシャルメディアでGrapheneOSのconsent-based抽出成功事例を根拠に脆弱性だという虚偽の主張が拡散
• 過去にも、Signal暗号化が破られたという噂（実際にはユーザーがアプリを直接開いてフォレンジックに提供したケース）など、類似の虚偽事例があった

GrapheneOSのフォレンジックハッキング防御戦略

端末ハッキング防止の主要機能

• ユーザーがロック状態（スクリーンロックなど）のとき、新規USB接続を遮断し、ハードウェアレベルでポートを無効化する機能を提供
• BFU、AFU、完全ロック解除後などさまざまなシナリオで、ユーザーが望む水準までUSBを完全遮断する設定が可能
• 2024年以降、Pixelファームウェアまでセキュリティが強化された

ブルートフォース攻撃への防御

• Pixel 6以降の端末には**Titan M2（ハードウェアセキュリティモジュール）**が搭載され、暗号鍵を保護
• 誤入力5回後は30秒待機、30回・140回超過時にはそれぞれ待機時間が増加し、その後は1日1回のみ入力を許可（secure element throttling）
• AVA_VAN.5等級の独立評価を通過し、非常に高いセキュリティを実証
• iOS、Samsung、Qualcommのセキュリティモジュールは企業レベルの攻撃者にすでに回避されたが、GrapheneOS+Pixel 6以降の組み合わせでは近年成功事例がない

自動再起動（auto reboot）機能

• **18時間のデフォルト設定（10分〜カスタム可能）**が経過すると自動再起動し、未使用時はBFU状態に移行
• そのため、ハッカーがexploitを開発しても、実際に攻撃可能な時間（ユーザーがロック解除してから再起動まで）は限定される

結論と今後の展望

• GrapheneOSチームは継続的にさまざまなセキュリティ強化と自動化されたセキュリティ機能を拡充している
• 今後は指紋+PINの2要素認証、ランダムパスフレーズの自動UIなど、さらに強力で利便性の高い保護策の導入が予定されている
• 高度なハッキング集団でも突破できない状況の中で偽情報の流布が試みられているが、事実に基づく情報がそれを防ぐことができる