Appleは、スマートフォンにおけるマルウェア(悪意を持ったソフトウェア)の実態を細かく紹介したホワイトペーパーを公開(PDF)した。報告書は同社米国サイトの「プライバシー」のページに掲載されている。

●Appleがホワイトペーパーを公開

 ホワイトペーパーには、冒頭から衝撃的な統計が並ぶ。

・過去4年間、AndroidはiPhoneに対して15〜47倍多くマルウェアによる攻撃を受けている

・2019年から2020年初頭にかけて、欧州規制当局は毎週23万件のモバイルマルウェアによる感染を報告している

・Kaspersky Labは、毎月管理しているAndroid機器に月間600万件の攻撃を確認

 ホワイトペーパーを読み進めると、今やスマートフォンを当たり前に使っている企業にとっての脅威についても触れられている。

・大企業では一台の機器がマルウェアに侵されるだけで1万ドルの損害になりえる

・米国1800社のうち46%で、会社のネットや情報を危機にさらす可能性があるマルウェアをダウンロードした社員が確認された

 Appleはこのホワイトペーパーの中で、Kaspersky Lab、Malwarebytes、WeLiveSecurity by ESET、Norton、Nokiaといった複数のセキュリティー企業やENISA(欧州ネットワーク・情報セキュリティ機関)などの政府機関が利用しているマルウェアを4分類して次のように紹介している。

 報告書の中では、例えば2020年の発見以来、人気アプリFaceAppやCall of Dutyであるかのように装うなど3万例ほど発見されているHiddenAdsと呼ばれるAdware、カナダでCOVID-19の接触確認アプリを装って機器の制御を奪い身代金を要求したCryCryptorなどAndroid端末を狙ったマルウェアの具体例がいくつも詳細に紹介されたかなり興味深い内容になっている。

 しかし、なぜAppleがAndroidユーザーにマルウェアへの注意喚起を促すような、このような報告書を作る必要があったのだろうか。

 それは、報告書にある「サイドローディングによる脅威の分析」というサブタイトルを読むと判明する。「サイドローディング」とは、他社製のアプリ市場の利用を認めるということだ(広くはWebページからのダウンロードやUSBメモリでのアプリの配布などを含意することもある)。

 現在、iOS機器では、原則としてAppleが提供する公式のApp Storeで入手したアプリしか動作させることができない仕組みになっている。

 これに対して、Android機器ではGoogleが提供する公式アプリストアのGoogle Play以外にも他社が運用しているアプリ市場もたくさんあり、それらで入手したアプリも利用できる。

 例えばAmazonのAmazon Appstore、Samsungが運営するSamsung Galaxy Appsのような機器メーカーによるストア、Androidで動作する映像機器でよく使われているAptoideなど多数のアプリ市場がある。

 Androidのように、他のアプリストアを認めてしまうと、アプリの質の担保が難しくなり、その結果、マルウェアを増やすことになる、というのがAppleの主張だ。

 マルウェアが広がるのを防ぐには、アプリで表示される画面1つ1つを検証して、ちゃんとボタンが、ユーザーが予想する通りの動作をしているかなどを、人間の目で目視して確認する必要があるというのがAppleの主張で、実際にAppleのApp Storeでは、アプリを1つ1つ丁寧かつ厳正に審査してから掲載している。

●サイドローディングこそがマルウェアを成立させている元凶だ

 実際、Appleはこの5月に、App Storeによる技術と人手を合わせた審査のプロセスが2020年を通し、隠れた機能を搭載していたという理由で4万8000本以上、SPAMだったり他のアプリのコピー商品だったりという理由で15万本、プライバシーを侵害したという理由で21.5万本のアプリの掲載を却下した。

 さらには、App Storeで一時流通したアプリからも9万5000本が「おとり商法」などを仕掛けた疑いで掲載取り下げとなった。これらの判断によって15億ドル以上と換算されるiOSユーザーの被害を防ぐことができたとするプレスリリースも出している。

 アプリ開発者には14日間の不服申し立てプロセスが用意されているが、これを行わない場合は開発者アカウントが永久に停止される。

 Appleの担当者は「マルウェアは何らかの利益を目的にしている。犯罪者も、こうしたマルウェアを作るのに開発者に対して支払うなど、お金をかけて作っており、ビジネスとして営んでいる。だから、対投資効果も真剣に考えており、十分多くの機器を感染させる確信がない限り開発はしない」という。

 そしてサイドローディングこそが、こうしたマルウェアを成立させている元凶だと指摘している。

 例えば、非常に多いマルウェアの開発/流通方法の1つにコピーキャットと呼ばれる方法がある。これは話題になっているアプリがあると、そのアプリを真似して同じアイコン、同じ名前などでアプリストアに掲載され、ダウンロードをして起動すると実際とは違った挙動をするというものだ。

 App Store以外でアプリの入手ができないiOS機器では、こうしたコピーキャットの流通のほとんどは事前審査の段階で防がれている。

 Androidユーザーの中には、Google Playなど公式のアプリストア以外は危険だと思って利用していない人も多いだろう。しかし、そうした人たちにはメールやメッセージなどを利用して、正当なアプリストアを装った偽アプリストアに誘い出すといった行為も横行しているという。

 その点、iOS機器では、そもそもAppleのApp Store以外で流通したアプリはインストールをしても起動をすることができないという安全な仕組みになっている。

 唯一の例外として、アプリ開発者が、開発中のアプリをテストしてもらうために流通するTestFlightという仕組みがあるが、こちらも厳重な審査があり、全ての開発者が自由に使えるわけではない。

 では、Appleはなぜ「極めて危険」とみなし、認めていないサイドローディングに関して報告書をまとめる必要があったのか。背景には欧州連合(EU)の動きがある。

 EUは2020年に提案され、2023年以降に施行される可能性のある「デジタル・マーケット法案」(DMA)の中で、収益が大きいApp Storeに限定したアプリ入手ルートを開放させ、利用者がインターネットや第三者からアプリを入手する「サイドローディング」を認めさせることが盛り込まれている。

 ヨーロッパだけでなく、その他の国でも9月にAppleの訴えがほぼ認められ、App Storeの重要性や価値が認められる形で決着が付いたAppleとEpic Gamesによる裁判の判決文の解釈をめぐり、サイドローディングを認めるべきとする議論が一部にある(AppleとEpic Gamesの裁判については、こちらの記事「Epic裁判の判決で認められたApp Store/アプリ内課金の合法性」を参照してほしい)。

 そして、このような議論を背景に、日本でもサイドローディングの容認を応援する論調を目にすることが多い。

●2つの正反対のことを同時にやろう

 今回リリースされた報告書の中で、AppleはiPhone誕生前のことを振り返っている。

 iPhoneが出てくる前、PCの世界ではアプリをWebサイトなどから自由にダウンロードしてインストールできる自由があったが、そのために常にウィルスなどの危険にさらされていた。

 AppleはiPhoneを開発する際、この機器が極めて個人的な情報を扱う製品になることや、PC以上に多くの人が使う機器になることを想定しており、ユーザーのデータの安全性を保障することはAppleにとっても重要な課題だった。

 報告書では、冒頭で共同創業者であるスティーブ・ジョブズ氏が、App Store開設の半年ほど前に語ったこんな言葉を掲載している。

 「我々は2つの正反対のことを同時にやろうとしている。先進的でオープンなプラットフォームを開発者に提供する一方で、iPhoneユーザーをウィルス、マルウェア、プライバシー侵害から守ろうとしているのだ。これは簡単な仕事ではない」

 この言葉の翌年、AppleはPCのソフトウェア流通の失敗から学び、テクノロジーだけでなく人間の目視による確認も交えた「審査」プロセスを経て、アプリの安全な流通を促す「App Store」というアプリ市場を発表する。

 この市場は、瞬く間に世界中に多くのアプリ長者を生み出し、今や巨大になっている企業も誕生させた。

 このアプリ市場という安全な市場は他の企業に対しても大きなインスピレーションを与え、その後、MicrosoftなどもWindows PCの公認アプリを流通させる「Microsoft Store」などをオープンしていることなどを見ても、App Storeという発明の素晴らしさはIT業界の人々の多くも認めている。その市場で未だにAndroidと比べ、何十倍もマルウェアの危険が少ないということにも一定の評価が必要だろう。

 全体で31ページ(うち本文は26ページ)ほどの英語の報告書では、Appleが詳細に調べたマルウェアの侵入経路の描写が多い。

 例えば2021年前半、ニュースなどでも度々話題になった音声SNSの「Clubhouse」は、しばらくAndroid版がなかったが、そこに狙いをつけたBlackrockと呼ばれるトロイの木馬アプリがヨーロッパを中心に多くのAndroidユーザーを襲った。

 Clubhouseが利用できるとうたったそのアプリだが、「Google Playで入手」と書かれたリンクをクリックした瞬間に実は見えないアプリがダウンロードされ、突然、AndroidアプリのOSアップデートが必要という注意が表示される。アップデートに必要という許可の画面が表示されるが、ユーザーがそれらを許可してしまうと、以後はAndroid上でユーザーから見えない形で動作を続け、銀行アプリやFacebookなどのSNSのログイン情報を盗んでいたそうだ。

 サイドローディングを許していない現在のiOSでは、そもそもリンクをクリックしてアプリをダウンロードができない(企業ユーザーかアプリのテストユーザーなど特殊なケースはあるが、その場合もダウンロードできるのは指定のアプリだけだ)。万が一、アプリを入れることができても、Appleも署名した証書をインストールしていないとアプリが起動できない。

 サイドローディングを認めさせようとする人たちには、ぜひともサイドローディングをしても、こういったマルウェアを防げるという具体的なアイディアを示してほしいと思う。

 そうでないと、iOSの登場で実現したマルウェアのないデジタルライフスタイルが、再び90年代のPCのように常にセキュリティーソフトにお金を払い続け、常に優秀なプロセッサの大事な処理能力や電力の一部をマルウェア探しという非生産的なことに費やす時代が再来してしまう。