iPhoneを売る前に――ファクトリーリセットだけでは不十分な理由

TL;DR

iPhoneのファクトリーリセットはストレージブロックを「利用可能」とマークするだけで、上書きしません。削除された写真、メッセージ、ファイルは、コントローラーがそれらのブロックを再利用するまでNANDフラッシュから復元可能です。フォレンジックツールはこれを悪用します。iCloudフォトはデバイスを消去した後もAppleのサーバーに完全なコピーを保持します。AppVaultのファイルシュレッダーは、削除前に複数回の書き込みパスでボールト内のファイルを上書きします。以下の販売前チェックリストで、買い手、下取りプログラム、家族に渡す前にすべての手順をカバーしています。

ファクトリーリセットの実際の動作

「すべてのコンテンツと設定を消去」をタップすると、iOSは2つのことを行います。ファイルシステムの暗号化キーを破棄し、すべてのストレージブロックを再利用可能とマークします。データそのもの――NANDフラッシュに残っている暗号文――は、ストレージコントローラーが新しいデータで上書きするまでそのまま残ります。

iOS 15以降、Appleはキー階層を再設計し、ファイルシステムキーを破棄することで暗号文はそのキーなしでは事実上復元不可能になりました。これは意味のある改善です。しかし「事実上復元不可能」は「物理的に消えた」わけではありません。ブロックは依然として古いデータを保持しています。法執行機関やデータ復元ラボが使用するような、生のNANDにアクセスできるフォレンジックツールは、ファイルシステムを完全にバイパスしてブロックを直接読み取ることができます。

iOS 14以前では状況はさらに悪化します。暗号化キー階層の粒度が低く、ファイルシステムキーを破棄しても、より多くの基盤データにアクセス可能な状態が残りました。iOS 14で出荷された、またはそのライフサイクルのどこかでiOS 14を実行していたデバイスには、新しいスキームで再暗号化されなかったブロックに残留データが存在する可能性があります。

結論：ファクトリーリセットは論理的な消去であって、物理的な消去ではありません。オペレーティングシステムにブロックが空であると伝えるだけで、古いコンテンツにゼロやランダムデータを書き込むわけではありません。

「最近削除した項目」アルバムに残るもの

写真アプリは、ゴミ箱アイコンをタップしても画像を削除しません。画像は「最近削除した項目」アルバムに移動され、30日間保持されます。その間、ファイルは完全に無傷です――同じ解像度、同じメタデータ、同じ位置情報タグ。ユーザーはワンタップで復元できます。

ファクトリーリセットはこのアルバムをクリアしません。30日間のタイマーはファイルシステムのメタデータに結びついており、リセットでキーが破棄されると写真アプリからアルバムの内容はアクセス不能になりますが、基盤となるデータはNANDブロックに残ります。デバイスがiOS 14以前を実行していた場合、そのデータはフォレンジックツールで復元可能です。

iPhoneを売ったり下取りに出したりする前に、手動で「最近削除した項目」アルバムを空にしてください。写真アプリを開き、アルバム→「最近削除した項目」→すべて選択→削除、の順に進みます。その後、以下のチェックリストの残りの手順を実行します。

iCloudフォトはAppleのサーバー上に残る

iPhoneを消去すると、すべての写真のローカルコピーは削除されます。しかしiCloudフォトライブラリには何の影響もありません。そのライブラリはAppleのサーバー上にあり、Apple IDに紐づいていて、同じアカウントでサインインした新しいデバイスに同期されます。

これにより、iPhoneを売る際に2つの問題が生じます。

第一に、売り手が消去前にiCloudからサインアウトし忘れると、アクティベーションロックが有効のままになります。新しい所有者は電話をセットアップできません。売り手はappleid.apple.comにアクセスし、サインインしてアカウントからデバイスを手動で削除する必要があります。これはサポートの手間になるだけでデータ漏洩にはなりませんが、販売を遅らせます。

第二に、売り手がiCloudフォトライブラリを完全に削除したい場合、それは別の操作です。iCloudからサインアウトすると同期は停止します。ライブラリの削除には、iCloud.comまたは同じApple IDでサインインした別のデバイスから写真を削除する必要があります。iPhone上の「すべてを消去」ではこれらのどちらも実行されません。

NANDフラッシュとフォレンジック復元

すべてのiPhoneはNANDフラッシュチップにデータを保存しています。NANDフラッシュはページ（通常4KB）とブロック（通常256ページ）で動作します。書き込みはページレベルで行われ、消去はブロックレベルで行われます。iOSがファイルを削除すると、ページを無効とマークしますが、ブロックは消去しません。ブロックは古いデータで満たされた「ダーティ」な状態のまま、フラッシュコントローラーのガベージコレクションプロセスがそれを再利用するまで残ります。

フォレンジックツールはこれを悪用します。チップオフフォレンジックスは、NANDチップをはんだ除去し、プログラマで直接読み取る方法です。これによりiOSファイルシステムを完全にバイパスします。ツールは有効かどうかに関わらずすべてのブロックを読み取り、生データからファイルを再構築します。この手法はブロックが上書きされていない限り、iOSのバージョンに関係なくすべてのiPhoneで機能します。

Cellebrite UFEDやGrayKeyなどの論理抽出ツールはより高レベルで動作します――デバイスのデバッグインターフェースを通じてiOSファイルシステムと通信します。iOS 14以前では、これらのツールは未使用ブロックから削除された写真、メッセージ、アプリデータを復元できます。iOS 15以降では、再設計されたキー階層によりこれが困難になりますが、デバイスがロック解除されているか、ツールが脆弱性を悪用できる場合は不可能ではありません。

チップオフと論理抽出の両方に対する唯一の防御策は物理的な上書きです。古いブロックに新しいデータを書き込むことで、元のコンテンツがハードウェアレベルで消去されます。

AppVaultのファイルシュレッダーが行うこと

AppVaultのファイルシュレッダーは、削除前に複数回の書き込みパスでボールトファイルを上書きします。このプロセスは、アプリのサンドボックスに保存された暗号化された暗号文――AppVaultがユーザーに代わって保存するAES-256-GCM暗号化ファイル――を対象とします。

手順は以下の通りです。ユーザーがシュレッダーにかけるファイルを選択します。AppVaultは各ファイルを開き、その全長にわたってランダムデータを書き込み、複数パスで書き込みを繰り返します。その後、標準のiOSファイルシステムコールを通じてファイルを削除します。結果：元の暗号文を保持していたNANDブロックにはランダムデータが書き込まれています。フォレンジックツールがそれらのブロックを読み取っても、元の暗号化コンテンツではなく上書きパスのデータしか見つかりません。

これはアプリのサンドボックス外のファイルを保護しません。カメラロールの写真、メッセージアプリ内のメッセージ、他のアプリのデータはAppVaultの制御外です。ファイルシュレッダーはボールト自身のファイル、つまりユーザーが暗号化ストレージのためにAppVaultにインポートした写真やドキュメントを対象として設計されています。

デバイス全体の上書きには、ユーザーは依然としてファクトリーリセットを実行する必要があります。ファイルシュレッダーは、最も重要な特定のファイル、つまりユーザーが復元可能にしておきたくなかったためにボールトに移動したファイルについて、ファクトリーリセットが残すギャップを埋めます。

販売前チェックリスト

以下のチェックリストを順番に実行してから、iPhoneを買い手、下取りプログラム、または家族に渡してください。

1. 「最近削除した項目」アルバムを空にする。 写真アプリを開き、アルバム→「最近削除した項目」→すべて選択→削除。これにより、カメラロール内の写真の30日間復元可能期間が除去されます。

2. iCloudからサインアウトする。 設定→[あなたの名前]→サインアウト。Apple IDのパスワードを入力し、ローカルデータを保持するか削除するかを選択します（ど