海外旅行者のためのiPhoneプライバシー

TL;DR

旅行者が直面する脅威は二つある：合法的にスマホを見せろと要求する国境検査官と、海外都市でスマホを盗む泥棒。AppVaultは両方に対応する。電卓ランチャーは、他人がデバイスを手にしたときに完全に動作するiOS電卓を表示する。ダミー保管庫は、別のパターンで開く数学的に独立したアルバムを提供する。パスポートスキャン、ビザページ、予防接種記録は、AES-256-GCM暗号化で保護され、鍵は600,000回のPBKDF2反復処理とiPhone Secure Enclaveでラップされる。ネットワーク通信なし、アカウントなし、パターンを忘れた場合の復旧手段なし。

すべての旅行者が直面する2つの脅威

旅行者のスマホには、かつての書類キャビネットよりも多くの機密データが詰まっている。パスポートスキャン、ビザページ、予防接種記録、ホテル確認書、決済カードの写真、プライベートメッセージ、位置情報履歴 — これらすべてが、国境を越え、見知らぬ人に手渡され、時には紛失するデバイスに保存されている。

脅威は抽象的ではない。2つのカテゴリーに分類される。

国境検査。 検査官がスマホを見せろと要求する。米国では税関国境警備局（CBP）が第四修正条項の国境検査例外に基づき、入国港で令状なしにデバイス検査できる。2014年の最高裁判決Riley v. Californiaでは逮捕に伴う捜索には令状が必要とされたが、国境検査例外は別のカテゴリーとして残っている。CBPの方針は「高度な」検査（デバイスを外部機器に接続するなど）には「合理的な疑い」を求めるが、基本的な検査（写真、メッセージ、アプリを閲覧する程度）にはその基準はない。他の国々も同様の枠組みを持つ。英国、カナダ、オーストラリア、ニュージーランドはいずれも国境でのデバイス検査を許可している。シェンゲン圏内では法的枠組みは統一されているが、執行は一貫していない。ドイツの検査官は厳格な手続きチェックリストに従うかもしれない。フランスの検査官はより広範な警察権限の下で行動するかもしれない。イタリアの検査官はルールを一貫せず適用することもある。同じ国境でも、3つの異なる経験がある。

紛失・盗難。 イスタンブールのタクシーに置き忘れたスマホ。バルセロナでバッグをひったくられた。バンコクのホテル部屋から盗まれたデバイス。泥棒はiOSを突破する必要はない。スマホがロック解除されているか、パスコードを推測できれば、すべての写真、メッセージ、ファイルにアクセスできる。カメラロールだけでも、パスポートスキャン、搭乗券、機密会話のスクリーンショットが含まれている可能性がある。

AppVaultは、これら両方の脅威に単一のアーキテクチャで対処する：パターンを持たない者には見えない暗号化ストレージ、手渡しの瞬間のための電卓の表の顔、そして「保管庫はありません」という答えが信じてもらえない状況のためのダミー層。

保管庫に入れるべきもの

旅行者は、単独では些細だが、集まると危険な書類を蓄積する。パスポートの顔写真ページ、ビザスタンプのスキャン、予防接種記録、クレジットカードの裏面の写真（「念のため」）、自宅住所が記載されたホテル確認書、プライベート会話のスクリーンショット。

これらのファイルは単独では機密性が高くない。しかし、まとまれば一つの資料集となる。

AppVaultはこれらのファイルを A E S - 2 5 6 - G C M で封印された暗号化カタログに保存する。各ファイルには固有の96ビットnonceが割り当てられ、2つのファイルが同じ鍵ストリームを共有することはない。暗号方式はNIST FIPS 197、GCMモードはNIST SP 800-38Dによる。暗号鍵はユーザーの5×5パターンからP B K D F 2 - S H A 256を600,000回適用（OWASP 2026推奨）し、インストールごとに128ビットのソルトを加えて導出される。その導出鍵は、iPhone Secure Enclave内で生成された鍵でラップされる。Secure Enclaveはハードウェアセキュリティモジュールであり、鍵をメインプロセッサやAppleに決して露出しない。

カタログ自体も暗号化されている。デバイスストレージに生アクセスした攻撃者は、ファイルの数、名前、追加日時を特定できない。保管庫は単なるフォルダではない。密封されたコンテナである。

電卓ランチャー：手渡しの瞬間のための設計

旅行者のスマホにとって最も脆弱な瞬間は、他の誰かがそれを手にしたときである。国境検査官、警察官、写真を見せてと頼んだ同僚がスワイプしすぎるとき。

AppVaultの電卓ランチャーは、アプリを開くと完全に機能するiOS電卓を表示することでこれに対処する。アイコンは「Calculator」、アプリ名は「Calculator」、インターフェースは電卓である。加算、減算、乗算、除算ができる。Appleガイドライン4.3（代替アイコン）に準拠しているのは、偽物ではなく本物の電卓だからである。

保管庫のロック解除画面は、イコールキーの長押しでのみ表示される。他のジェスチャーでは発動しない。通知も表示されない。ホーム画面を閲覧したりアプリを開いたりする人にとって、それはただの電卓である。

これはトリックではない。他人がスマホを手にしたとき、機密コンテンツが単なるパスワードの背後ではなく、完全に不可視である必要があるという現実を認めた設計上の選択である。

ダミー保管庫：数学による否認可能性

電卓が保管庫を隠すのは一つの層である。しかし、保管庫アプリについて知っている誰か、あるいはそれらを探すように指示された誰かが「中を見せろ」と要求したらどうなるか。

AppVaultのダミー保管庫は、別の5×5パターンで開く数学的に独立した保管庫カタログを提供する。二つの保管庫は暗号鍵を共有しない。ファイルメタデータを共有しない。可視的な接続もない。ダミー保管庫はプライマリ保管庫とまったく同じように見え、動作する。独自のファイルリスト、独自のストレージ、独自のパターンを持つ。

誰かがアクセスを要求した場合、ダミーパターンを入力する。ダミー保管庫が開く。そこにはファイルが含まれているかもしれない（個人的な写真、あるいは何もやましくないもの）。プライマリ保管庫は封印されたままで検出不可能である。「第二の保管庫が存在します」という表示はない。プライマリ保管庫が存在することを証明する方法はない。

これは法律を逃れるための機能ではない。合法的な機密資料（法的文書、医療記録、ジャーナリズムの情報源）を携行し、デバイス検査の法的地位が不明確または一貫していない法域で活動する旅行者のための機能である。

旅行モードの衛生：渡航前、渡航中、帰国後

渡航前。 すべての機密ファイルを保管庫に移動する。パスポートスキャン、ビザページ、予防接種記録、決済カード写真、自宅住所が記載されたホテル確認書。カメラロールから原本を削除する。メッセージアプリで機密会話を確認し削除する。メールで転送された書類を確認して削除する。暗号化iCloudバックアップを使用している場合は、出発前に有効にする。ファイルはアップロード前にデバイスごとのバックアップ鍵で封印され、Appleには暗号文のみが届く。復旧パスフレーズを書き留め、スマホとは別に保管する。

渡航中。 使用しないときはスマホをロックしておく。強力なパスコード（最低6桁、英数字推奨）を使用する。利便性のためにFace IDまたはTouch IDを有効にしてもよいが、生体認証によるロック解除は一部の法域で強制される可能性があることに注意（米国の裁判所ではパスコードは第五修正条項の保護を受けるが指紋は受けないと判断されている）。国境検査官がスマホを求めてきたら、手渡す。アプリを開くように求められたら、電卓を開く。電卓は何をするのかと尋ねられたら、計算をすると答える。

帰国時。 米国の国境検査例外は米国籍者と非米国籍者の両方に適用される。帰路でも同じ予防策を取る。旅行中に機密資料（領収書、書類、写真）を入手した場合は、着陸前に保管庫に入れる。

AppVaultが防御しないもの

限界について正直であることは、弱点ではなく機能である。

AppVaultは、iOSカーネルの侵害に対しては防御しない。攻撃者がiOSのゼロデイを悪用できる場合、暗号化は無意味である（攻撃者は復号後にデータを読み取る）。AppVaultは物理的な強制に対しては防御しない。誰かにパターンを強制入力させられた場合、保管庫は開く。AppVaultは保管庫の外に保存されたデータを防御しない。カメラロールの写真、メッセージアプリのメッセージ、メールアプリのメール — これらはAppVaultの対象外である。AppVaultは、一度も保管庫に入れられていないデータのiCloudバックアップを防御しない。ファイルを保管庫に移動する前にカメラロールをiCloudにバックアップしていた場合、暗号化されていないコピーがAppleのサーバーに残る。

脅威モデルのページでこれらの限界を詳しく説明している。何を保管庫に入れ、何を他の場所に残すかを決める前に読んでほしい。

AppVaultの比較

フォトボールトのカテゴリーは混雑している。Keepsafeはインストール数でカテゴリーリーダーであり、機能の詳細な比較は比較ページにある。Vaultaireは電卓型ボールトのニッチで最も近い競合であり、アーキテクチャの違いは比較ページで詳述している。

ほとんどの広告収入型フォトボールトアプリは、オフデバイスに使用状況テレメトリを送信するサードパーティSDKを実行している。AppVaultはサードパーティSDKを一切実行せず、デフォルトでネットワーク通信を行わず、プライバシー栄養ラベルでデータ収集なしと宣言している。完全なゼロナレッジアーキテクチャのページでは、AppVaultが決して知ることができないこと（尋ねることすらないから）を説明している。

結論

旅行者のスマホは負債である。ほとんどの人が認識しているよりも多くの個人データが載っており、誰がそのデータにアクセスできるかを定める法的枠組みは一貫しておらず、管轄に依存し、進化している。AppVaultは法的問題を解決しない。技術的問題を解決する：データを見るべきでない者がデバイスを物理的に入手したとき、データは封印されたままである。

電卓の表の顔は手渡しの瞬間を処理する。ダミー保管庫は要求を処理する。暗号化は残りすべてを処理する。サーバーなし。アカウントなし。パターンを忘れた場合の復旧手段なし。最後の部分はバグではない。それがポイントである。