世界の警察ご用達のツール「Cellebrite UFED」、ハッキングしてデータ改ざんできることが発覚

 2015年の銃乱射事件で使われたiPhoneのパスコード解除法が報じられたように、スマホをはじめとしたデジタル情報端末からのデータ抽出は犯罪捜査における常套手段である。こうしたデータ抽出に多用されるツールに、深刻な脆弱性があることが発覚した。この発覚によって、データ抽出捜査の法的正当性に疑問が投げかけられることになる。

特別なフォーマットのファイルを仕込むだけ

 テック系メディア『Ars Technica』は22日、犯罪捜査におけるデータ抽出に多用されるツール「Cellebrite UFED」で深刻な脆弱性が発覚したことを報じた。この脆弱性は、暗号化メッセージングアプリ「Signal」を開発するMoxie Marlinspike氏によって同アプリの公式ブログで報告された。同アプリは昨年12月にCellebrite UFEDの抽出対象に指定されたので、因縁の関係にある。

 以上のブログ記事によると、(犯罪の容疑者が使っていたスマホのような)データ抽出対象となるデバイスに「特別にフォーマットされているが無害なファイルを含める」と、Cellebrite UFEDが作成する抽出データに関するレポートを変更するコードを実行できる。簡単に言えば、同ツールをハッキングして抽出データを改ざんできるのだ。こうした脆弱性の発見は、同ツールによって押収されたデータを犯罪捜査における証拠と認定することに大きな疑問を投げかけることになる。

 Marlinspike氏は、ブログにCellebrite UFEDのハッキングに成功した時の動画を掲載するとともにTiwtterにも投稿した(下のツイート参照)。ハッキング成功の瞬間には、「俺たちに刃向かうと痛い目に遭うぜ!(”MESS WITH THE BEST,DIE LIKE THE REST.”)」と訳せるスラングが表示される(トップ画像参照)。ちなみに、この動画で引用されている映画は1995年に公開された『Hackers』(邦題は『サイバーネット』で日本未公開だがWOWOWで放送)であり、この映画はしばしばハッキング関連のミームとして使われる。

法的執行機関御用達の「Cellebrite UFED」とは

 脆弱性が発覚した「Cellebrite UFED」とは、イスラエルのセキュリティ企業Cellebrite社が開発したデータ抽出ツールである。この種のツールとしては最も有名で世界各国の警察、軍、諜報機関で使われているまさに法的執行機関御用達のものである。

 日本ではサン電子株式会社がCellebrite社と提携して、 同ツールを販売している。同ツールで抽出可能なデータは、パスワードをはじめ、発着信履歴、電話帳、メール、写真・動画、カレンダー、携帯電話情報、SIMロケーション情報まで多岐にわたる。抽出可能なデバイスは世界中の携帯電話約6,500機種にわたり、世界の80以上の携帯電話メーカーや通信キャリアと強い関係があるので、新規機種にも順次対応している。さらに、携帯電話ネットワークから遮断された状態でもデータ抽出を可能とするダミーSIM機能も有している。

 Cellebrite UFEDには携帯性を重視した「UFED Touch」(下の画像参照)と、PCにインストールして使う高パフォーマンスの「UFED 4PC」の2モデルがある。UFED Touchの専用オプションとして、中国製の携帯電話からのデータ抽出を可能とするツール「UFED CHINEX」もある。