FBI、iPhoneの通知データで削除されたSignalメッセージを復元
(9to5mac.com)- FBIがiPhoneの内部通知データベースを利用して削除されたSignalメッセージを復元した事例が、法廷証言を通じて明らかになった
- 被告のiPhoneでは、Signalアプリ削除後も受信通知の内容が内部ストレージに残っており、通知プレビュー設定は無効化されていた
- iPhoneのセキュリティ状態(AFU、BFU) と ローカルキャッシュ構造により、一部データがシステム内部に残存しうる
- アプリ削除後もプッシュ通知トークンが直ちに無効化されないため、サーバーが引き続き通知を送信し、iPhoneがそれを受信した可能性が指摘されている
- この事件は、暗号化メッセージングアプリとiOS通知システムのデータ保持構造が、プライバシー保護における重要な論点として浮上していることを示している
iPhoneの通知データで削除されたSignalメッセージを復元したFBIの事例
- FBIがiPhoneの内部通知データベースを利用して削除されたSignalメッセージを復元した事例が公開された
- 404 Media の報道によると、テキサス州AlvaradoのICE Prairieland収容施設で起きた花火および器物損壊事件に関与した被告の裁判での証言によって明らかになった
- FBI捜査官Clark Wiethornが法廷で証拠収集の過程を説明した
-
通知データから復元されたメッセージ
- 被告Lynette SharpのiPhoneでは、Signalアプリが削除された後も受信したメッセージ内容が内部通知ストレージに残っていた
- 法廷証拠の要約(Exhibit 158)によると、「Signalは削除されていたが、Appleの内部通知ストレージを通じて受信通知が内部メモリに保存されており、受信メッセージのみが復元された」という
- Signalには通知プレビューでメッセージ内容を隠す設定があるが、被告はこれを無効化していたことが判明した
- SignalとAppleはいずれも、通知データの保存方法や処理過程に関する公式見解を示していない
-
内部保存構造と技術的背景
- 被告のiPhoneの状態に関する具体的な技術情報が不足しており、FBIがどのような方法でデータを復元したのかは明確ではない
- iPhoneには BFU(Before First Unlock)、AFU(After First Unlock) など複数のセキュリティ状態があり、各状態によってデータアクセス権限が異なる
- 端末がロック解除された状態では、システムはユーザーが直接操作中であるとみなし、保護されたデータへのアクセス範囲が広がる
- iOSはさまざまなセキュリティ状態を信頼ベースで管理しており、ユーザー利便性のために多くのデータをローカルにキャッシュとして保存している
-
プッシュ通知トークンとデータ残存の可能性
-
アプリが削除されても、プッシュ通知送信に使われるトークンは直ちに無効化されない
- サーバーはアプリ削除の有無を認識できないため、最後の通知後も継続してプッシュを送ることがあり、iPhoneがそれを受信して内部的に処理した可能性がある
- Appleは最近、iOS 26.4でプッシュ通知トークンの検証方式を変更しており、今回の事件との直接的な関連は確認されていないが、時期的に注目される
-
-
データ抽出の可能性と捜査ツール
- Exhibit 158の説明によると、FBIはAppleの内部通知ストレージを通じてデータを復元しており、これは端末バックアップから抽出された情報である可能性がある
- 法執行機関は、iOSの脆弱性を利用してデータを抽出する商用フォレンジックツールを多数保有しており、FBIがこれを活用した可能性もある
- 404 Media はこの事件の元レポートを別途公開している
-
事件の意味
- この事例は、メッセージングアプリの削除や暗号化だけでは完全なデータ削除が保証されないことを示す例として注目される
- iOS通知システムのデータ保持構造とセキュリティ管理の方式が、今後のプライバシー議論の中心的な論点として浮上する可能性がある
1件のコメント
Hacker Newsの意見
ユーザーの立場で考えると、Signal には forward secrecy があるので、受信後のメッセージは消えるものだと思っていた。
しかし disappearing messages を有効にしていないと、Cellebrite のようなフォレンジックツールで復元できる。デフォルトでは無効になっている。
有効にしていても、通知(notification)にメッセージが含まれていると OS が保存する可能性がある。Apple は実際にそうしており、これを防ぐオプションもあるが、やはりデフォルトでは無効だ。
アプリを削除しても OS にメッセージが残る。結局、セキュリティと使いやすさのバランスが崩れたとき、これはユーザーのせいではなくシステム設計の問題だと思う。
関連事例は 私の記事 にまとめてある。
Android の WhatsApp もデフォルトで Google Drive への暗号化されていないバックアップ を推奨している。
Google、Apple、Meta が PRISM の後継協定のように「E2EE は許可するが、デフォルト設定ではアクセス可能にする」ようにしたのではないかと疑っている。
ほとんどのユーザーはデフォルト設定のまま使うため、結局セキュリティは無力化される。
メタデータ(誰がいつ誰と通信したか)も依然として露出する。
この記事 のように、センシティブなデータは通知に含めないか、暗号化されたペイロード で送るべきだ。
Whonix Chat 推奨ページ
Signal の設定で
Settings > Notifications > Notification Content > Show: “Name Only” または “No Name or Content” に変更しておけば、
画面を見せたときにセンシティブなメッセージが露出しない。今回の件を見ると、この設定には セキュリティ上の追加メリット がある。
Signal の通知プレビュー設定が無効になっていない場合、システムがメッセージ内容をデータベースに保存する。
この通知記録は macOS では
~/Library/Group Containers/group.com.apple.usernoted/db2/dbで確認できる。Crank アプリ を使えば SQL クエリで抽出できる。
ただし FCM(APNs) のような集中型通知インフラが途中でデータを保存できる可能性がある。
デフォルト設定は「ロック解除時にプレビュー」だが、この場合でも内部保存が暗号化されるのかは不明だ。
結局これは ユーザー設定ミスによる OPSEC の問題 であり、Signal のデフォルト設定は適切だったと見る。
Signal が毎月のように通知を有効にしろと聞いてくる理由が気になっていた。拒否しても繰り返された。
ユーザーが望まなくても繰り返し勧めるのは、今ではありふれた UX パターンだ。
実際の 法廷証言 こそがセキュリティ実態を検証する本当の方法だと思う。
理論的な議論より、実際の事件でどんなデータが復元されたのかが重要だ。
「被告が設定を有効にしなかったため、システムがメッセージを保存した」という文は、実質的に Apple のデフォルト設定が問題 だということだ。
ほとんどのユーザーは設定を変えず、Apple もそれを知っている。
意図的でないとしても、私たちは 意図されたものとして振る舞うべき だ。
結局責任はユーザーに転嫁され、システムを作った企業は「システム」という匿名性の後ろに隠れる。
元記事: FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database
Apple がアプリを削除しても通知データベースに残った記録を消さないのはなぜか疑問だ。
古い通知内容を保持し続けるのは セキュリティ事故の火種 だ。
Android 公式ドキュメント によれば、一定期間だけ保持する。
wear leveling のため、データが何年も残ることもありうる。
ファイルシステムや SSD レベルでも同様のことが起こる。
結局これは、E2E の片端はアプリではなく端末そのもの であることを示す事例だ。
WhatsApp のように通知からメッセージを読んでも既読表示が付かないのは、OS が 中間者(MITM) の役割を果たしているようなものだ。
echo "my_private_data" | notify-sendのように単に通知を出す行為そのものが危険だとまでは言いにくい。実はこうした 通知データ保存の問題 は以前から知られていた。
RealityNet iOS Forensics References や
The Forensics Scooter の記事 でもすでに扱われていた。