アップルが警告した「iOSアプリのサイドローディングによる深刻なリスク」

　Appleの最高経営責任者（CEO）、Tim Cook氏は最近のインタビューで、アプリを同社のアプリストア以外からダウンロードできるようにすること（＝サイドローディング）は「iPhoneのセキュリティを崩壊させることになる」と主張した。これは1度きりの発言かと思いきや、Appleは米国時間6月23日、この問題について説明する文書を改めて公式ウェブサイトで公開した。

　Appleのこの文書を描写するなら、映画「ゴーストバスターズ」でピーター・ヴェンクマン博士が発した警告「人が人を生贄に捧げ、イヌとネコが交尾。世の中大混乱！」を思い起こせばいい。なぜなら、Appleは間違いなく、人々に聖書級の破壊がやって来ると思わせたいのだから。

　文書によると「サイドローディングを認めたら、『iOS』プラットフォームのセキュリティレベルは下がり、サードパーティーのアプリストアだけでなく、『App Store』上でもユーザーを深刻なセキュリティリスクにさらすことになる」という。

　「悪意ある攻撃者はこの機会を利用して、iOSユーザーを標的とする高度な攻撃を開発するためにより多くのリソースを費やすようになり、武器としてのエクスプロイトコードや攻撃ツールが増加するだろう。（中略）それらからユーザーを守る必要がある」

　「こうしてマルウェア攻撃のリスクが増加することで、App Storeからしかアプリをダウンロードしないユーザーも含む、すべてのユーザーがより高いリスクにさらされることになる」

　議論の性質上、Appleがサイドローディングの許可を余儀なくされる架空の未来について、それによって未来がどれほど悪化するかを正確に定量化するのはほぼ不可能だろう。サイドローディングがマルウェアに新たな道を与えるだろうというAppleの主張はおそらく正しく、同社はこの道を同社のプラットフォームに多大な悪影響を与えるマルウェアが流入する新たな通路だと世界中の規制当局に認めさせたいと考えている。

　Appleはまた、この問題がすべてのユーザーに影響を与えることを明確にした。政治的な戦いでは、自分サイドが相手側よりも良い方法で「子供たちに配慮している」と認めさせることが重要だからだ。

　「（サイドローディングは）保護者が子供たちのアプリ内購入を管理するためのペアレンタルコントロール機能『承認と購入のリクエスト』と、ユーザーとその子供たちのデバイス利用時間を管理する『スクリーンタイム』の活用を困難にする可能性がある」（文書より）

「詐欺師たちは、アプリの性質を分かりにくくすることで、子供やその保護者をだまして誤解させる機会を得るので、2つの機能の効果が下がる」

　Appleは、ジョンという名の男性とその7歳の娘エマの日常という設定の下、サイドローディングされたアプリが2人の1日を台無しにする可能性を示した。1つのアプリをサイドローディングしたばかりに、認証されていない購入やジョンのデバイス内の写真を人質にとった脅迫、知らずに海賊版アプリを購入してしまうことなどが起きるのだ。

　「こうなったら、ジョンのようにiPhoneとApp Storeの安全と保護に慣れきっているユーザーは、サイバー犯罪者や詐欺師が手を変え品を変えて弄するトリックに常に目を光らせていなければならず、誰を、何を信用すればいいか分からなくなるということだ」とAppleは説明した。

　物陰にあなたを搾取しようとする詐欺師が隠れている世界で、何かを盗まれないよう警戒していなければならない状況を想像してみてほしい。地元のショッピングモールに仮想通貨詐欺師や悪徳セールスマンがいないことを祈ろう。

　この文書を読む際に留意すべきことがもう1つある。それは、Appleが「macOS」の世界について簡潔に説明している点だ。macOSでは、この文書の公開時点で、ユーザーはインターネット上の見知らぬ場所からアプリをランダムにインストールできる。Epic Gamesとの裁判で、AppleはMac上のマルウェアは許容できないレベルになっていると語った。

　Macのマルウェアのレベルはどのくらいかというと、週に数個だ。Microsoftならそのレベルに到達すれば嬉し泣きするだろう。

　だが、Appleとそのユーザーが実際に最も心配しているのは、iOSを「Android」のようにしてしまうことだ。

　Googleは、そのエコシステム上で猛威を振るうマルウェアについて把握するために、定期的に「有害な可能性があるアプリ（PHA）」の状況を公表している。PHAはマルウェアのことと解釈していい。

　「Googleモバイルサービス」（GMS）対応Android（つまり、純粋にオープンソースでも、一部の中国メーカーのものでもないAndroid）を搭載するすべてのデバイスで、3月末時点でPHAがインストールされていたデバイスの割合はここ2年間で最高の0.122％だった。Androidエコシステムの規模はおよそ3億台なので、PHAがインストールされたデバイスは約366万台になる。パーセンテージは小さいが、絶対数にすると大きい。

　Googleは、Androidのバージョンが上がればPHAのレベルは下がるとしている。Android 10は0.076％、Android 11は0.031％だ。

　「Google Play」に限定するとPHAインストール率は0.065％に下がり、国別で最も高いのはインドの0.12％で、日本の0.083％、ブラジルの0.082％、インドネシアの0.075％、米国の0.07％がそれに続く。

　日本などでマルウェア率が高いことは、Proofpointも指摘した。ユーザーの位置を確定した後、マルウェアはウェブへのリダイレクトと共に宣伝される。

　「公式アプリストアがストア内で提供するアプリの種類の制限を厳しくするにつれて、非公式アプリのダウンロードとその使用は増加していくと予想する。『フォートナイト』などのアプリ、高度な広告ブロッキングアプリ、トレントアプリ、ルーティングアプリなどは非常に人気があり、多数のユーザーが自分のスマートフォンでこれらを利用するためにサードパーティーのソースを使う」とProofpoint傘下のCloudmarkでバイスプレジデントを務めるJacinta Tobin氏は米ZDNetに語り、以下のように続けた。

　「人気のあるアプリが公式アプリストアから締め出されている限り、ユーザーは入手できる場所を他に探し続ける」

　「どこからダウンロードするにせよ、アプリの権限が問題になる。ユーザーは連絡先、SMS、電話へのアクセス許可を求めるアプリには注意する必要がある」

　プラットフォームやアプリの出自に関係なく、賢明なアドバイスだ。

　だが、Appleのより厳格なアプリ審査基準を考えると、iPhoneのPHA率がAndroidを超えることはなさそうだ。それでもiPhoneユーザーは10億人以上いるのだから、122万台がマルウェアに感染する可能性は看過できるものではない。

　とはいえ、それはGoogle、Microsoft、そしてAppleのmacOSでもそれぞれが日夜取り組まなければならない問題だ。解決できないかもしれず、iOSのウォールドガーデン（閉じた環境）の評判を落とす可能性がある。だが、Appleが強制的にサイドローディングを認めさせられたとしても、ユーザーにはサイドローディングしないという選択肢もある。

　結局のところ、ユーザーの選択次第なのだ。