アプリを公式ストア以外からインストールって出来るようになるってホント?
最近、「iPhoneでアプリのサイドローディングを実現するべき」、「セキュリティレベルを低下させるのでやるべきではない」、といった議論を見たことがないでしょうか。サイドローディングとは、正規アプリストア以外で配布されているアプリをインストールすることです。サイドローディングでは、ユーザは公式ストアでは配布されないアプリの入手や、公式ストア外の柔軟な課金システムの利用が可能になります。
この議論の発端は、2023年6月16日に政府の「デジタル市場競争会議」で報告された、「モバイル・エコシステムに関する競争評価 最終報告」(※1)(以下、最終報告)という文書です。最終報告は、モバイル・エコシステムにおける公平、公正な競争環境を目指し調査されたもので、そのエコシステムを担うレイヤ(OS、アプリストア、ブラウザ等)の現状と目指すべき方向性について報告されています。
最終報告での話題の中心は、アプリストアに関する話題です。報告書では、アプリストアについて、「一定規模以上のOSを提供する事業者に対して、セキュリティ、プライバシーの確保等が図られているアプリ代替流通経路を、実効的に利用できるようにすることを義務付ける」とされています。この内容に対し、冒頭の議論が起きており、経済団体やIT事業者には賛成意見が見られますが、ユーザや多くの団体では否定的な意見が多くなっています。
モバイル・エコシステムを専有させず、公平、公正な競争環境を目指すという方向性は、日本に限らず、世界各国でも同様です。現状最も進んでいるのはEUで、デジタル市場法(DMA)を成立させ、市場の支配的な事業者(ゲートキーパー)に対し、実施すべき義務や禁止事項を設け、違反する場合には罰金を科します。この中に、アプリストアについての項目も存在します。(※2)
モバイル・エコシステムに関する競争評価 最終報告,デジタル市場競争会議,https://www.kantei.go.jp/jp/singi/digitalmarket/kyosokaigi/dai7/siryou2s.pdf
Regulation(EU)2022/1925,EUR-Lex,https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2022.265.01.0001.01.ENG&toc=OJ%3AL%3A2022%3A265%3ATOC
App Store以外で安全にアプリを手に入れられるか
iOS向けのアプリ代替流通経路が用意された場合、セキュリティ面でどのような影響があるでしょうか。
アプリ事業者がApp Storeにアプリを登録する際、Appleの審査が存在します。審査では、セキュリティ的な観点から、マルウェアやユーザを騙すアプリ、ユーザデータを適切に扱っていないアプリを却下します。このため、App Storeではこれらのアプリが少ないとされています。もちろん、この仕組みも完璧ではなく、近年でもApp Storeでマルウェアや望ましくないアプリは見つかっています(※3)。App Storeにそのようなアプリを潜り込ませる為、審査段階では不正な機能を隠し、審査通過後にリモートから本来の不正機能を追加する手法が存在します。
最終報告で想定されている、以下の4つの流通経路を元に影響を考えてみます。
図:想定されるApp Store以外のアプリ流通経路
図では、通常利用されるアプリを一般アプリ、一般アプリを配布するストア機能を持ったアプリをストアアプリとしています。
(1)~(3)はストアアプリから一般アプリを配布する形式で、ストアアプリを提供する経路が異なります。(4)は、ストアを介さずインターネット上で一般アプリを配布する野良アプリと呼ばれる形式です。
各方式について、ストアアプリ自体の安全性とストア上での審査の可否という二つの観点からマルウェア混入の危険性を考えてみましょう。
(1)(2)は、ストアアプリに対してはAppleが審査すると想定される為、ストアアプリ自体の安全性は、App Storeで配布されるアプリと同等でしょう。提供される一般アプリの安全性は、ストア事業者による審査次第です。おそらく、長年App Storeを運営してきたAppleに比べ、初期は混乱が生じるでしょう。ストア事業者に対し、一定の基準やガイドラインの順守を求める方針もありますが、時間を要するでしょう。
(3)は、ストアアプリは、ウェブ上で配布される為、Appleによる審査がありません。そのため、ストアアプリの安全性は保証されず、危険なストアアプリや偽物のストアアプリをインストールする可能性もあります。ストア事業者による提供アプリの審査は、ストア自体の安全性が保障されない以上、信頼性は高くないと言えるでしょう。
(4)は、ウェブ上でアプリ事業者自身が直接アプリを配布する形式です。そのため、当然ストアアプリはありませんし、安全であるか審査する組織・機関もありません。そのため、(4)によるアプリインストールが最も危険です。
AppleとGoogleのアプリストアに忍び込む詐欺用の仮想通貨取引アプリ,SOPHOS,https://news.sophos.com/ja-jp/2023/02/01/fraudulent-cryptorom-trading-apps-sneak-into-apple-and-google-app-stores-jp/
動き始めたApple
このような議論を受け、Appleはどう対応していくのでしょうか。
Appleは近いうちに何かしらのアクションを取る可能性が高いです。これは、2023年9月に、EUのDMAによって、Appleを含む6社がゲートキーパーに指定されたためです(※4)。ゲートキーパーに指定された事業者は、6か月以内にDMAを順守する必要があるため、2024年3月までに何かしらの対応が想定されます。実際に、その兆候が見える事例が二つあります。
一つ目は、2023年11月3日に、Appleが米国証券取引委員会(SEC)へ提出した資料(※5)の中で、DMAの規則への準拠が報告されていることです。
二つ目は、今後予定されるiOS17.2に、代替アプリストア導入の為と予想される機能が加わったことです。アプリに他のアプリをインストールする権限を与える資格やリージョンロックのための機能が見つかったとの報道もあり(※6)、DMAのような当局からの規制がなされた地域に対して、本機能により代替アプリストアを提供するのではないかと言われています。
Digital Markets Act:Commission designates six gatekeepers,European Commission,https://ec.europa.eu/commission/presscorner/detail/en/IP_23_4328
Form 10-K For the Fiscal Year Ended September 30,2023, Apple,https://investor.apple.com/sec-filings/sec-filings-details/default.aspx?FilingId=17028298
iOS 17.2 hints at Apple moving towards letting users sideload apps from outside the App Store, 9to5Mac,https://9to5mac.com/2023/11/10/ios-17-2-sideload-apps/
ユーザが対応すべきこと
実際に新しい流通経路が設けられたら、ユーザ側はどう対応すべきでしょうか。導入が見込まれる機能から推測すると、流通経路の(1)(2)のような限られたアプリストアを展開するのではないかと思われます。その場合、広くアプリを扱うような代替アプリストアが、マルウェアを紛れ込ませない検査を出来るようになるまで、しばらく時間が必要でしょう。
その間、ユーザはApp Storeに比べてマルウェア感染のリスクが高いことを意識し、代替アプリストアを利用する必要があります。その際の注意点は以下の通りです。もちろん、App Storeを利用する際も有効です。
- アプリが要求する権限や取得データの情報を確認する
マルウェアの場合、不要なアクセス権限の要求や、データ取得がなされる可能性があります。上記情報が提供されないアプリストアは利用を避けたほうが良いでしょう。また、インストール後に、アプリから要求された権限がアプリにそぐわない場合も注意が必要です。 - 開発元やアプリの評判の確認
掲載されている開発元の情報等を確認し、信頼できるか確認する方法があります。また、アプリ自体の評判をレビューなどで確認することも対策の一つです。ただし、偽装なども可能ですので、あくまで補助情報と考えてください。
さいごに
今では生活に欠かせないツールとなったモバイルデバイス、それを取り巻くエコシステムの公平・公正な競争環境を整備する流れは、海外も含め変わらないでしょう。一方懸念されるセキュリティ、プライバシーの問題に対しては、ユーザへ悪影響を及ぼさないことは必要です。アプリストア事業者に適正なチェックを求める規約を設けることが有効であるとともに、ユーザ側もアプリストアを利用する際に適切な確認をすることが望まれます。
デジタル市場競争会議の詳細はこちら:
https://www.kantei.go.jp/jp/singi/digitalmarket/kyosokaigi/index.html
あわせて読みたい: