App Storeにサイドローディングは必要か？ プライバシーが脅かされるリスクについて考えた

アップルのApp Storeにはサイドローディングの仕組みが必要なのか？ 現在整っているユーザーのプライバシーを保護するセキュリティ機能との関係から考察してみます

　スマートフォンやタブレットなど、モバイルデバイスやサービスのセキュリティ・プライバシーに関わるテクノロジーは、日々進化を続けています。一方で、最近はiPhoneの「App Store」やAndroidスマホの「Google Playストア」など、プラットフォーム事業者が運営するアプリストアに公正な競争とイノベーションを呼び込むためとして、世界各国でアプリストアに対する法規制が検討されています。日本国内でも、内閣官房デジタル市場競争本部（DMCH）により、サードパーティによるサイドローディングを促進する議論が交わされています。

　サイドローディングとはプラットフォーム事業者が運営するストアを使わず、外部決済システムの利用も含めてユーザーにアプリやサービスを提供する方法のことです。

2022年4月に開催したデジタル市場競争会議の配布資料「モバイル・エコシステムに関する競争評価 中間報告（案）」

　DMCHが2022年4月に取りまとめた「モバイル・エコシステムに関する競争評価 中間報告（案）」（外部関連資料）を読むと、今後アップルやグーグルなどアプリストアの運営事業者に対してサイドローディングの許可を義務付ける方向で政策成立に向けた検討が進んでいることがわかります。

　スマホやタブレットは、もはや私たちの日常生活に欠かせないデバイスです。ユーザーとしては、より多くの便利なアプリを出来る限り安く手に入れたくなるものですが、入手する手段の「安全性」についても意識を高く持つことが肝要ではないでしょうか。アップルのApp Storeを例に挙げながらサイドローディングの必要性を考えてみたいと思います。

アップルのティム・クックCEOは、今年4月に開催された「IAPP Global Privacy Summit 2022」のステージでプライバシー保護の重要性を説いていました

サイドローディングのメリット、デメリットとは

　日本国内でiPhoneやiPadなどのデバイスを利用する場合、ユーザーがアプリを導入するためのプラットフォームはApp Storeに限られています。外部のWebサイトやサービスを経由するサイドローディングによるアプリの入手は不可。アプリ内の有料課金サービスについても、アップルが提供する決済システム以外の利用は認められていません。

　サイドローディングが許可されれば、有料のアプリやゲーム、またはアプリ内課金のサービスについて、これらを提供するデベロッパやサービス事業者が臨機応変に価格を設定できることになります。時にはApp Storeを経由するよりも安くアプリやサービスを入手できるメリットが、ユーザーにもたらされるかもしれません。

　ただ、サイドローディングを許可することの対価として、App Storeを中心とする健全なエコシステムに亀裂が入り、ユーザーのプライバシーや利用する端末のセキュリティが脅かされる懸念について、アップルはこれまでにも繰り返し伝えてきました。

　2022年4月にアメリカで開催されたイベント「IAPP Global Privacy Summit 2022」の基調講演に登壇したアップルのティム・クックCOOも、壇上でサイドローディングが生み出す脆弱性の問題を取り上げ、「アップがすべのユーザーのための権利であると考える『プライバシー』を侵害する大きなリスクになり得るもの」として警鐘を鳴らしました。

アプリとサービスの健全性を保つためのApp Store独自の仕組み

　アップルのデバイスとサービスは、ユーザーのプライバシーを守るために色々なエコシステムが統合され、互いに連動しながら機能しています。

世界80カ国以上の国・地域でエキスパートによるApp Storeのアプリ・サービスを審査する仕組みが導入されています

　App Storeに関しては、アプリを流通させる拠点をこの一ヵ所にまとめることにより、大きく2つのメリットがもたらされます。その1つが「App Review」の効果が最大化されることです。App Reviewとは、Apple Storeの専門家チームがすべてのアプリケーションを明確な基準と人の手により審査して、有害・違法なコンテンツを含まない安全なアプリだけをストアから配信する独自の仕組みです。

Apple Storeでは専門家チームがすべてのアプリケーションを明確な基準と人の手により審査して、有害・違法なコンテンツを含まない安全なアプリだけを配信する仕組みで運営している

　もう1つのメリットは、ユーザーが導入した後のアプリやサービスの安全性が確保できることです。App Storeでは配布されたアプリのアップデートの内容についても審査を行い、また決済など取引きの安全性について問題が発生した場合には速やかな対応を取ってきました。

　例えば2021年には約15億ドル（約2086億円）の不正の恐れがある取引を未然にブロックしたり、隠し機能や規約に記載されていない機能を含むアプリを3万4500本以上却下してきました。盗難カードによる不正な購入も330万件以上未然に防ぐことができたとしています。

App Storeに公開されているアプリの「Appのプライバシー」から、個人情報のデータ利用など各アプリのポリシーが参照できます

ユーザー自身がアプリの安全な利用環境を選べる仕組み

　App Storeに公開されているアプリは、すべてアップルが定める「Privacy Nutrition Labels（プライバシーラベル）」と呼ばれるフォーマットに則って、プライバシー保護のポリシーを表記することが義務付けられています。アプリのデベロッパは、アプリがユーザーから収集するデータの種類とそれぞれの個人情報との関係、収集したデータの用途などをここに明示することにより、アプリやサービスが「安全なものであること」をユーザーにアピールできます。

　筆者も職業柄、日々多くのiPhoneアプリやゲームなどをダウンロードしますが、入手する前に「Appのプライバシー」の記載にリンクしているデベロッパのプライバシーポリシーや、App Storeから参照できる「ユーザのトラッキングに使用されるデータ」「ユーザに関連付けられたデータ」の項目についてはなるべく目を通すようにしています。

　iPhoneやiPadなど、アップルのデバイスはユーザーのプライバシーに関わる情報を取得し、取り扱う場合のデータサイズを最小限に止めるように設計されています。またユーザーのプライバシーに関わるデータの解析などはクラウドを介さずセキュアな端末上で処理を完結する仕組みを取り入れ、メッセージアプリのようにクラウドにつなぐサービスの場合はデータに厳重な暗号化処理をかけます。

　アップルはiOS 14.5、iPadOS 14.5、tvOS 14.5以降、Macでは同時期にリリースされたバージョン以降のブラウザ「Safari」から、デバイスを利用するユーザーのプライバシー保護機能を強化しています。ユーザーが「アプリによるトラッキングの許可」を自身で判断して、Web上での行動を追跡されたり、デベロッパやサービス事業者がユーザーの個人情報にアクセスしてターゲット広告を表示する行為を未然に防ぐことができるようになりました。

モバイルマルウェアの脅威

　アップルのエコシステム上にもサイドローディングの道筋ができてしまうと、ユーザーのプライバシーや端末のセキュリティを保護するためにアップルが整えてきた仕組みも弱体化します。

　堅牢なはずだったセキュリティの隙間をすり抜けて、執拗に広告を表示して利益を得ようとする「アドウェア」、ユーザーの端末を“乗っ取り”、不正に得たデータを解放する代わりに“身代金”を要求する「ランサムウェア」や、銀行口座などへのログイン情報をかすめ取る「トロイの木馬」などと呼ばれるモバイルマルウェアが、ユーザーの端末に浸入してくる危険性が高くなるのです。

　Google Playストアの外から、apkファイルのインストールによるアプリ導入などサイドローディングの利用を許可しているAndroidのプラットフォームでは、これまでにも悪名高いモバイルマルウェアによる感染被害が報告されてきました。例えば無料のアプリやゲームに隠れて、わずらわしい広告を表示するアドウェア「HiddenAds」や、カナダ保健省が提供した公式の新型コロナウィルス感染症の接触追跡アプリに偽装して、サイドローディングによりユーザーのデバイスに入り込み、不正に暗号化したファイルを「復元してほしければ身代金を払うように」要求してくるランサムウェア「CryCryptor」などがこれにあたります。

アップルがWebサイトに公開しているサイドローディングの脅威分析のデータから、モバイルマルウェアによるサイバー攻撃の実情を知ることができます

ユーザー自身の 「心がけ」によりモバイルマルウェアに立ち向かえるのか

　日本国内のiPhoneユーザーには無縁とされてきた、いわゆるモバイルマルウェアによる「ウィルス感染」が、もしもサイドローディングが許可されることにより「自分ごと」になってしまった場合に、ユーザーが自身で取り得る対策はあるのでしょうか。

　デバイスやアプリを利用するユーザーも、これまで以上に自身でセキュリティ対策に力を注がなければなりません。ただアプリやサービスが信頼に足り得るものか、ユーザーが自身で判断することはとても困難です。あるアプリやサービスが「サイドローディングでのみ利用可能」なものであり、これを強制的に使わざるを得なくなった場合にはなおさらです。

　ユーザー本人がいかにモバイルデバイスの正しい使い方やセキュリティに精通していたとしても、身近な家族や友人、仕事仲間とのデジタルコミュニケーションを通じてモバイルマルウェアに感染してしまうことも考えられます。あとは個々人で使うデバイスやクラウドサービスに、セキュリティ対策のツールを導入するほかないということになるかもしれません。サイドローディングやサードパーティによる決済システムによりアプリやサービスが「ちょっとお得」に使えるようになった代わりに、余計な定額出費がかさむということにもなりかねません。

　さらにモバイルマルウェアによりアプリやApp Storeへの信頼性が低下すると、エコシステム全体が危機にさらされます。そうなるとApp Storeを拠点に活動する中小規模のデベロッパが活躍の場を失ってしまう可能性もあります。

　これから私たちの暮らしはデジタルトランスフォーメーションが進み、様々な個人情報をスマホやアプリに入れて一元管理できる「便利な」時代がやってくると言われています。でも、一方で私たちが使うデジタルデバイスのセキュリティが万全な状態でなければ、プライバシーに関わる情報をスマホなどにひとまとめにする選択は「あり得ない」と思います。

　既に安全性が担保されたモバイル・エコシステムに、サイドローディングを導入することの有用性については、セキュリティの観点からも多くの知見を取り入れながら慎重な議論を積み重ねるべきであると筆者は考えます。

 

筆者紹介――山本 敦 　オーディオ・ビジュアル専門誌のWeb編集・記者職を経てフリーに。取材対象はITからオーディオ・ビジュアルまで、スマート・エレクトロニクスに精通する。ヘッドホン、イヤホンは毎年300機を超える新製品を体験する。国内外のスタートアップによる製品、サービスの取材、インタビューなども数多く手がける。