米アップルは、App Storeのサービスに関連するセキュリティとプライバシー保護のポリシーをまとめたレポート「Building a Trusted Ecosystem for Millions of Apps」(幾多のアプリを提供する高信頼性エコシステムの構築)の最新版をWebサイトで公開しました。
副題を「A threat analysis of sideloading」(サイドローディングの脅威)としたこのレポートには、App Store以外のアプリストアからiPhoneなどのデバイスにアプリを追加できる「サイドローディング」をアップルが認めない理由が詳しく説明されています。
生活に不可欠なスマホはマルウェアの脅威にさらされている
昨今の新型コロナウィルス感染症によるパンデミックは、iPhoneをはじめスマートフォンが生活に欠かせないデバイスであること多くの人々に改めて認識させました。一方、ユーザーにとって最も身近でパーソナルなデバイスであるスマートフォンは、従来よりもさらに多くの悪意あるソフトウェア(=マルウェア)の脅威にさらされており、個人のユーザーだけでなく企業や組織にも重大な打撃を与えかねないリスクを抱えていることも同レポートは指摘しています。
近年では、大手ゲームデベロッパのEpic Gamesが人気タイトル「フォートナイト」において、App Store以外の配信手段を用いて独自の決済システムによりiPhoneのユーザーに提供できないことに不服を唱え、サイドローディングを許可するようアップルに求めています。サイドローディングとは、App Storeのようなプラットフォーム事業者による正規の手段以外にアプリやサービスを提供する方法を指します。
アップルは、もしサイドローディングを認めれば、App Storeのユーザーを深刻なセキュリティにさらすことになるとして、Epic Gamesの主張を一貫して退けています。今年の9月には、Epic GamesがAppleを相手取り起こした訴訟に対して、米カリフォルニア州北部地区の連邦地方裁判所がApple側の主張を認めるかたちで、App Storeを通じたデジタルコンテンツ配信の仕組みと、アプリ内課金技術の使用に関する要件について「いずれもアプリのデベロッパにとって競争上に重要な利益をもたらすものであり、サービスを利用するコンシューマーにも有益」との見解を示しました。App Storeにおけるガイドラインが米国における独占禁止法である反トラスト法の違反に当たらない、との判決が下された格好です。
マルウェアが絶えず開発される背景
このたびアップルがサイトに公開したレポート「A threat analysis of sideloading」は、現状英語版のみが公開されています。引用文献のリストを含むファイルのボリュームは、全31ページにも及びます。内容は、昨今のマルウェアに関連するトラブルの具体から、これに対抗するためApp Storeを中心とするアップルのエコシステムが講じているセキュリティ対策の考え方など、多岐に渡っています。
レポートによると、欧州連合(EU)のサイバーセキュリティ機関が2019年初頭から2020年初頭までの期間に実施した調査では、1日あたり23万件、年間では実に8,400万件ものモバイルマルウェアの新規感染が発見されたといいます。2020年には、欧州の大手サイバーセキュリティプロバイダーが、同社のクライアントが所有するAndroid端末が月間約600万件にも及ぶサイバー攻撃に対峙したというデータを公表しています。また過去数年間に、サイドローディングを認めるAndroid OSのプラットフォームが、マルウェア感染率においてiPhoneの15倍から47倍に及ぶ脅威にさらされてきたこともレポートは伝えています。
モバイル端末のユーザーを狙ったマルウェアについて、レポートではWeb広告として配信され不正な収益を集める「アドウェア」、ユーザーのデバイスやデータをロックし、復元するための不当な支払いを要求する「モバイルランサムウェア」、ユーザーを監視・収集したデータをブローカーやハッカーに販売する「スパイウェア」、そしてユーザーが利用する金融機関に関連する個人情報を取得しようとする「トロイの木馬」を主な4つの分類として言及しています。
悪意あるマルウェアの被害は個人のプライバシー侵害、企業の機密情報漏洩などにとどまりません。アプリやサービスの開発者にとっては海賊行為や知的財産権の侵害、Web広告の出稿主に対しては広告収入のピッキングによる損失など、あらゆるケースにまで広がりつつあります。
各種マルウェアが休む間もなく開発される背景には、「マルウェアに投資をしてターゲットから利益を回収する」という一種の不正なビジネスサイクルが成立している現状があるとレポートは指摘しています。
悪意ある行為には、テクノロジーと人間の知恵の両面からの対処が有効
ある種の“進化”を続けるマルウェアに対抗する手段として、ひとつはサイバーセキュリティ対策のエキスパートにより提供されるテクノロジーの活用が考えられますが、それだけでは「悪意を持った人間の知恵」との“いたちごっこ”の繰り返しを未然に防ぐことは困難です。
アップルのレポートでは、悪意あるマルウェアによって利益を得ようとする者がサイドローディングによってユーザーのデバイスにアクセスを試みる事例が近年多く見られることについて言及しています。無料のアプリやゲームを通じて不正なユーザーデータの収集を試みるアドウェア「HiddenAds」、カナダの公式新型コロナウィルス追跡アプリに偽装してAndroid端末ユーザーのファイルに不正なアクセスを試みたランサムウェア「CryCryptor」などの具体的な攻撃事例なども紹介しながら、マルウェアのレポートを深く掘り下げています。
サイドローディングやサードパーティによるアプリストアは、iPhoneのユーザーに対して悪意のある攻撃者が危害を加えることを容易にするものであり、Appleのセキュリティおよびプライバシー保護を弱体化させるリスクを内包しています。これを認めることが、ユーザのセキュリティおよびプライバシーにとって最善の利益になり得ないという見解を、アップルはレポートの中でも強く主張しています。
デベロッパによりApp Storeに提出されるアプリを「人間のエキスパート」が事前に審査する独自のシステムについても、アップルは「悪意ある人間の行為をテクノロジーの力だけで回避することはとても難しく、深い知見を持つ人間がこれを阻止する必要がある」としてその有用性を説いています。
仮に、App Storeがサイドローディングによるアプリやサービスの提供を許可した場合、家族や友人、企業の同僚とのコミュニケーションに必要なアプリがApp Storeではなく、外部のストアからしか入手できなくなることも考えられます。このような“抜け穴”を突くマルウェアによる被害を、サイドローディングによるサービスを必要としていないユーザーにも波及させないためにも、App Storeのサービスに関連するセキュリティとプライバシー保護のポリシーは厳格に守られるべきである、とアップルは強調しています。