iPhoneで写真にロックをかける方法――半端な保護に騙されないために

TL;DR

iPhoneで写真にロックをかけるには、隠しアルバム（iOS 16以降、表示にFace ID/Touch IDが必要）、スクリーンタイムのコンテンツプライバシー制限（パスコードが必要）、または専用の金庫アプリを使用します。隠しアルバムは最も簡単ですが、サムネイルが検索可能で削除を防げません。スクリーンタイムは写真アプリ全体をブロックしますが、大雑把な方法です。AppVaultのような金庫アプリは個別のファイルをAES-256-GCMで暗号化し、メタデータを除去し、注目を避けるための計算機や偽装画面を提供します。すべての脅威に対応できる単一の方法はありません――あなたの脅威モデルがどの方法を使うべきかを決定します。

iPhoneで写真にロックをかける方法は3つあります。それぞれ異なる人物が電話を手にした状況から保護し――それぞれ異なるドアを開けたままにします。隠しアルバムはカジュアルな覗き見を防ぎますが、Spotlightにデジタル指紋を残します。スクリーンタイムは写真アプリ全体をブロックできますが、1万枚の写真すべてを同じように扱います。サードパーティ製の金庫アプリは個別のファイルを暗号化しますが、Appleに責任を負わない開発者を信頼する必要があります。

正しい選択は、誰からロックするのか、どのような状況で電話が放置されるのかによって異なります。

隠しアルバム ― Appleのネイティブ保護機能

iOS 16以降、写真アプリの隠しアルバムは表示にFace ID、Touch ID、またはデバイスパスコードを要求できます。有効にするには：設定 > 写真に移動し、隠しアルバムの下にある「Face IDを使用」をオンにします。一度オンにすると、隠し写真はメインライブラリに表示されなくなります――内容を表示する前に生体認証を要求する別のフォルダに格納されます。

これはiPhoneで写真にロックをかける最も簡単な方法です。追加のアプリも、覚えるべき別のパスワードも、1つのスイッチ以外の設定も必要ありません。

しかし、隠しアルバムは暗号化されていません。写真は他のすべての写真と同じApple管理のデータベース内のファイルシステムに残ります。ロックはソフトウェアゲートです――サムネイルをレンダリングする前に顔をチェックします。PHPhotoLibraryを介してフォトライブラリ全体へのアクセスを要求するアプリは、隠しフラグを尊重しません。フォトライブラリの権限を持つアプリは、隠し写真を含むすべてのアセットを列挙できます。設定で写真のSiriと検索を無効にしない限り、Spotlight検索は結果に隠し写真を表示します。

さらに悪いことに：隠し写真はFace IDを必要とせずに「最近削除した項目」フォルダから削除できます。あなたの電話のロックを解除した人が「最近削除した項目」アルバムを開くと、「すべて削除」ボタンが表示されます。一度削除されると、デバイスからは消えます（バックアップがオンの場合、iCloudから30日間は復元可能ですが）。

隠しアルバムはプライバシーフィルターであり、セキュリティ境界ではありません。1分間あなたの電話を手に取った人には効果があります。1時間を費やす人や、サードパーティのギャラリーアプリをインストールする人には効果がありません。

スクリーンタイム ― 写真アプリ全体をブロックする

スクリーンタイムは別のメカニズムを提供します：写真アプリを完全にブロックします。設定 > スクリーンタイム > コンテンツとプライバシーの制限 > 許可されたAppに移動し、写真をオフに切り替えます。アプリはホーム画面から消え、開くことができなくなります。再び有効にするには、スクリーンタイムパスコードが必要です。

この方法はすべての写真を一度にロックします。スクリーンタイムパスコードを知らない限り、誰も写真の表示、共有、削除を防ぎます。同じカジュアルな覗き見には効果的ですが、友人に写真を見せることもできなくなります――最初に制限をオフにする必要があります。

スクリーンタイムも写真ファイルを暗号化しません。ファイルはディスクに残り、モバイルユーザーとして実行される任意のプロセス（バックグラウンドデーモンや拡張エンタイトルメントを持つアプリを含む）から読み取り可能です。写真ライブラリアクセス（ユーザー許可経由）を取得した悪意のあるアプリは、スクリーンタイムで写真アプリがブロックされていても、写真をコピーして取り出すことができます。制限はファーストパーティアプリのみを停止します。

スクリーンタイムはまた、ハードラインを強制します：すべてか無かです。個別のアルバムや写真をロックすることはできません。少数をプライベートに保ち、残りはアクセス可能にしておく必要がある場合、この方法はあまりにも大雑把です。

サードパーティ製金庫アプリ ― あなたとOSの間の暗号化

金庫アプリは、隠しアルバムもスクリーンタイムもカバーしないギャップを埋めます。選択した写真をシステムの写真ライブラリから完全に取り出し、暗号化されたコンテナ内に保存します。アプリ自体はパスワード、パターン、または生体認証でロックされています。誰かがあなたの電話のロックを解除しても、金庫の秘密なしでは金庫を開けられません。

主要なアーキテクチャ上の違いは暗号化です。写真は単に隠されるのではなく、金庫パスコードから派生した鍵でスクランブルされます。iPhoneでは、その鍵はさらにSecure Enclaveによってラップされるため、復号鍵はチップから決して離れません。Apple自身のセキュリティガイドは、Secure Enclaveがアプリケーションプロセッサからアクセスできないことを確認しています。

金庫アプリはまた、写真をiOSの共有シート、バックグラウンドインデックス作成、メタデータ抽出から分離または隔離します。適切な金庫内の写真は、検索、共有メニュー、またはアプリのイメージピッカーに表示されません。

トレードオフは信頼です。あなたはサードパーティの開発者に機密ファイルへのアクセスを委ねています。アプリはデータを漏洩させず、ホームに電話せず、クラッシュしないように、適切に設計されている必要があります。例えばAppVaultは、完全な暗号化スタックを公開しています：ファイルごとにユニークな96ビットナンスを使用したAES-256-GCM、600,000イテレーションのPBKDF2-SHA256、Secure Enclaveラッピング、デフォルトでのネットワークアクセスゼロ。アカウント不要、テレメトリーなし、サードパーティSDKなし。プライバシー栄養ラベルはデータ収集なしと宣言しています。

AppVaultの違い

AppVaultは、実際の使用に重要な2つのデザイン選択を導入しています：計算機ランチャーとデコイ金庫です。

計算機は完全に機能するiOS計算機です。ホーム画面をちらりと見た人には、他の計算機と同じように見えます。開いて、計算します。しかしイコールキーを長押しすると、金庫へのショートカットがトリガーされます。この表面はAppleのガイドライン4.3（代替アイコン）を通過します。なぜなら計算機は本物だからです――空のシェルのための偽のフロントではありません。

デコイ金庫を使用すると、独自のパターンを持つ第二の独立した金庫を設定できます。金庫を開けるよう強制された場合、デコイパターンを入力すると、無害な写真の別のセットが表示されます。実際のファイルはプライマリパターンの背後に封印されたままです。これは、1台の物理デバイスを複数の人が共有する場合や、コンプライアンス圧力が現実的な脅威である場合に役立ちます。

どちらの機能もオプションです。コアの暗号化は常に実行されます。

あなたの脅威モデルに合った方法を選ぶ

選択する方法は、誰から写真をロックするかに一致させる必要があります。

• 家族で電話やiPadを共有する場合： Face ID付きの隠しアルバムで、配偶者や子供が誤ってプライベートな写真にスワイプするのを防ぐのに十分です。しかし、彼らが技術的に好奇心旺盛でUSB-Cドライブを持っている場合は失敗します。

• グループ写真のために友人に電話を貸す場合： 友人はFace IDをバイパスしようとはしません。隠しアルバムで十分です。しかし、彼らが写真アプリを開いてアルバムをタップすると、サイドバーに隠しアルバムの数が表示されるかもしれません――設定でそれを無効にしない限り、iOSは隠し写真の数を表示します。

• 税関や国境検査の場合： 隠しアルバムに頼ることはできません。職員は電話のロックを解除して写真を開くよう要求できます。職員がパスコードを尋ねてきた場合、スクリーンタイムは役に立ちません。デコイ表面を持つ金庫アプリだけが、実際のデータを保護しながら従うことを可能にする防御策です。デコイ金庫は、もっともらしい普通のアルバムを提供します。

• ジャーナリスト、弁護士、医療専門家の場合： あなたの脅威モデルには、国家レベルの敵対者や訴訟が含まれます。最強の暗号化が必要です：AES-256-GCM、ハードウェアバックアップの鍵ストレージ、クラウドリカバリーの可能性なし。また、アプリが監査可能であること――オープンソースまたは少なくとも公開された暗号化――が必要です。AppVaultの暗号化ページはすべてのパラメータを詳述しています。

• iPhoneを売却または下取りに出す場合： 初期化（ファクトリーリセット）が最も簡単です。しかし、写真を保持し、次の所有者がアクセスできないようにしたい場合は、消去する前に暗号化された金庫に移動してください。隠しアルバムは電話とともに消去されます。

暗号化層

隠すことと暗号化の違いは、引かれたカーテンと施錠された金庫の違いです。AppVaultはGalois/CounterモードのAES-256を使用しています――NIST FIPS 197およびNIST SP 800-38Dで指定されているのと同じ認証付き暗号化標準です。各ファイルはユニークな96ビットナンスを取得し、同じ平文が同じ暗号文を生成することを防ぎます。

暗号化鍵は、PBKDF2-SHA256を使用して600,000イテレーションでパターンから派生します――2025年のOWASP推奨最小値です。その派生鍵は、iPhoneのSecure Enclave内で生成された鍵によってラップされます。Enclave鍵はチップから決して離れません。攻撃者が金庫ファイルを入手しても、正しいパターンとあなたの特定のiPhoneへのアクセスの両方がなければ復号できません。

AppVaultはデフォルトでネットワークコールをゼロにします。ファイルを漏洩させるためにサーバーが侵害されることはありません。オプションの暗号化iCloudバックアップは、別のデバイスごとのバックアップ鍵を使用するため、Appleは暗号文のみを受け取ります。

カタログ――ファイル名、日付、数のリスト――も封印されています。生のファイルシステムアクセスを持つ人でも、内部にいくつのファイルがあるかを知ることはできません。

どの方法でもカバーできない限界

どの方法も、すべての攻撃に対してiPhoneの写真をロックすることはできません。最強の金庫でも、強制されたパスワード、カーネルの脆弱性を悪用するCellebriteのようなフォレンジック抽出ツール、またはカーネルレベルのアクセスを持つ高度なマルウェアインプラントを止めることはできません。AppVaultの脅威モデルページは、防御しないものを明示的に述べています：国家支援のフォレンジック、脱獄されたデバイス、または強制下で金庫のロックを解除した瞬間。

金庫が防御するのは、最も一般的な脅威です：数分から数時間、ロック解除された電話を手にした人で、AES-256を破ったりSecure Enclaveから鍵を抽出したりするリソースを持たない人。これは、紛失した電話、貸した電話、家族共有、低スキルの国境検索をカバーします。

あなたの敵対者がデバイスパスコードにアクセスでき、スパイグレードのキーロガーをインストールできる場合、すべての賭けは無効です。そこでアプリがあなたを保護することはできません。

実用的な推奨事項

日常的な便利さには隠しアルバムを使用してください――友人に写真を見せるために電話を渡すときに機能するクイックロックです。隠しアルバムのFace IDを有効にし、Spotlight結果をブロックするために写真のSiriと検索を無効にしてください。

子供や従業員によるライブラリ全体へのアクセスや削除を防ぎたい場合は、スクリーンタイムを使用してください。デバイスパスコードとは異なるスクリーンタイムパスコードを設定してください。

ロック解除された電話に物理的にアクセスできる人には決して見られてはならない写真には、AppVaultのような専用の金庫アプリを使用してください。金庫は暗号化し、ネットワークからオフにし、圧力下で実際のファイルを公開せずに従う方法を提供する必要があります。

すべての写真を完全にロックする単一の方法はありません。しかし、方法を積み重ねる――カジュアルには隠しアルバム、機密には金庫――ことで、現実世界の圧倒的多数の状況をカバーできます。