「iPhoneのアプリは安心」という“常識”を疑え：半径300メートルのIT

iPhoneのアプリはアップルが厳格に審査をしているし、App Storeからしかインストールできないし――このような体制によって不正アプリは存在しないと言われていました。そう、今まではね。

[宮田健，Business Media 誠]

　大手セキュリティベンダーのトレンドマイクロのブログが、少々気になる記事を公開しています。「脱獄（Jailbreak）」していないユーザーであっても、App Store以外からアプリをインストールして攻撃にあう可能性が出てきた（参照リンク）というものです。今回は、改めて「iPhoneやiPadのアプリは安全」という常識を検討してみたいと思います。

アップルの正規認証を流用してApp Store以外からアプリを配布

　iOS向けアプリは、アップルがあらかじめアプリのレビューを厳格に行うことで不正アプリがApp Storeに登録されないうえ、ユーザーもApp Store以外からアプリをインストールできないという2重の防御体制が構築されているのが特徴です。この点は、無審査のため多くの不正アプリが次々と登録されているAndroidのGoogle Playと大きく異なります。

　これまでiPhoneやiPadでは、脱獄と呼ばれる改造を行わない限り、App Store以外からはアプリをインストールできないとされていました。ところが、トレンドマイクロは「一般的な使い方をしている正規ユーザーであっても、App Store以外のサーバーから直接アプリをインストールさせる事例」が複数明らかになったとし、日本でもApp Storeへの誘導のように見せかけてApp Store以外のWebサイトから音楽アプリをインストールさせる事例を確認したと書かれています。

　これまで信じられてきたiPhoneの「常識」が変わったという、個人的にも興味深い事例です。iOS端末を業務で使うという担当者は、この事例を知っておくべきでしょう。

常識が変わり続ける「IT世界」

　ITの世界の常識は変わり続けています。セキュリティ分野では特に速いスピードでトレンドが代わり、例えばウイルス対策ソフトを入れていればいいという時代はすでに終わったとされています（参照記事「『ウイルス対策ソフトは死んだ』発言の真意は？」）。

　筆者は20年近くMacを使い続けていて「やっぱりWindowsは使いづらい！」と言い続けていましたが、Google Chromeを使ってブックマークを共有し、EvernoteやDropboxを駆使しながら、出先ではWindowsマシンを併用するようになりました。

　また、「Androidなんて使いづらい！　やっぱりiPhoneが最高だ」とずっと公言していたのに、今では電池の持ちや防水、日本の商習慣に特化したおサイフケータイの便利さなどに負け、Android端末が手放せなくなっています。

　正直、「もっと早く変われば良かった」と反省しています。筆者のように“常識”の変化への対応に柔軟さを欠く理由は「自信」――正確には「過去の知識への自信」が大きいと思います。

　これまでの実績を大事にし過ぎてしまうと、保守的になり、新しいものの評価ができなくなってしまいがち。例えば「iPhoneはAndroidよりも安全なんだ。だからAndroidは触る必要がない」「2年前、わが社に導入したセキュリティ機器は最新のものだ。だから安全であるべきだ」などなど。当時はそうだったかもしれませんが、今はどうなのか冷静に見極めることができますか？

　常識を疑う――なかなかできることではありません。冒頭の例で紹介したように、常識があっさり崩される事例が多いのがITセキュリティの世界です。「そんなの常識でしょ？」と思ったとき、攻撃者はその慢心を狙い撃ちしようと、構えているかもしれませんね。

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

編集部より：

連載「半径300メートルのIT」が角川EPUB選書から『デジタルの作法　1億総スマホ時代のセキュリティ講座』として2月10日に発売となりました。Kindle版もあります。