TechCrunchによると、Googleは、Advanced Protection Mode(高度な保護モード)内のオプトイン機能「侵入ロギング(Intrusion Logging)」を展開しており、スパイウェアや電話へのフォレンジック(鑑識)攻撃を研究者が調査するのに役立つよう、セキュリティイベントを記録します。この機能は「Android 16 December」アップデート以降を搭載した端末で利用可能ですが、現時点では高度な保護モード、サインインしたGoogleアカウント、そしてGoogle Pixel端末が必要です。
ログは毎日作成され、ユーザーのGoogleアカウント内に暗号化された形式で保存されます。Googleによれば、この機能はアプリのインストール、Webサイトおよびサーバーへの接続、Android Debug Bridgeへのアクセス、電話のロック解除、記録の削除を試みる行為を記録できます。アムネスティ・インターナショナル(Amnesty International)がこの機能の開発を手助けしました。
侵入ロギングは、Androidセキュリティ研究における重要な制約に対処するために作られました。Androidは技術的な制約のため、歴史的にiOS(モバイルOS)と比べて、洗練されたスパイウェア攻撃を確実に検知することが難しい状態でした。この機能が登場する前は、研究者は侵入検知のために設計されていないシステムログに頼っており、そうした記録はしばしば上書きされて、攻撃の兆候が消えてしまうことがありました。
この仕組みは、Cellebriteのような政府系レベルのスパイウェアや警察のフォレンジックツールからの攻撃を記録するよう設計されています。Cellebriteはデジタルフォレンジック企業で、そのソフトウェアは法執行機関が端末のロックを解除し、データを取り出すのに役立ちます。これまで、標的型のスパイウェア攻撃をセキュリティ研究者が調べることを目的として、特化して作られた機能を端末メーカーが投入した例はありませんでした。
侵入ロギングは、より大規模なAndroidセキュリティの刷新の一部として位置付けられています。そこには、盗難端末が再利用されにくくなる強化された「Factory Reset Protection(工場出荷時リセット保護)」が含まれ、さらに、同じWi-Fiネットワーク上の端末にどのアプリが到達できるか人々が制御できるようにする、近日予定されている「Local Network Protection(ローカルネットワーク保護)」の権限制御モデルもあります。
Googleは侵入ロギングを、政府のスパイウェアや警察のフォレンジック機器への対抗として作られた高度な保護モードの中に配置しています。これはAppleの戦略とは異なります。Appleは「Lockdown Mode(ロックダウンモード)」というセキュリティ設定を提供しており、一部の電話機能を制限して攻撃への曝露を減らすことを狙っています。ロックダウンモードが攻撃対象領域を縮小することを目指すのに対し、侵入ロギングは事件の後のフォレンジック作業のために、詳細な暗号化レコードを追加します。この能力は、Androidの研究者が一貫して集めるのに苦労してきたものです。
