ニュース
» 2011年01月11日 13時34分 UPDATE

Mac App Store、「コピペで違法コピー可能」の問題指摘

Mac App Storeで提供されている一部のアプリで、領収書のコピー&ペーストで違法コピーが可能になっていると指摘されている。領収書の確認が適切に行われていないためだ。

[Fahmida Y. Rashid,eWEEK]
eWEEK

 Macソフト開発者と米Appleのセキュリティ管理がずさんなせいで、Mac App Storeからダウンロードしたアプリケーションの違法コピーや改変が可能となっている――。一部のユーザーから1月6日、そうした報告が寄せられた。

 AppleがMac OS X用のアプリストア「Mac App Store」をオープンしてから24時間もしないうちに、PastebinやDaring Fireballといったユーザーフォーラムには、「有料アプリの中には、App Storeの領収書の有効性確認を適切に行わないものがあり、そのせいで、そうしたプログラムは簡単に無料で入手できるようになっている」との報告が相次いだ。

 投稿された手順によると、Mac App Storeから正規にダウンロードしたいずれかのプログラム――有料版であれ無料版であれ――からApp Storeの領収書をコピーしてペーストすれば、別の有料アプリの有効性確認に利用できるという。

 「Mac App Storeのすべての有料アプリにこの方法が通用するわけではない」とDaring Fireballのジョン・グルーバー氏は書いている。同氏によれば、この方法が通用するのは、Mac App Storeの領収書の有効性確認をAppleの指示に従わず適切に行っていない開発者のアプリのみという。こうしたアプリは有効な領収書があるかどうかはチェックするが、領収書に記録されているIDがそのアプリに属するものかどうかまではチェックしない。

 実際にどのくらいの開発者とアプリが領収書の有効性確認を適切に実装していないかについては、今の時点では定かではない。ただし、少なくとも人気ゲーム「Angry Birds」がそうしたアプリの1つであることは分かっている。

 領収書の有効性確認が不適切なせいで、Mac App Storeのアプリの違法コピー作成が容易になり、この先、そうした違法コピーが入手しやすくなる事態は避けられそうにない。「有料アプリを無償で提供しようとうたう人物が現れた場合、その人物は、単にプログラムを無償で与えてくれるだけでなく、望ましくない感染までもたらす可能性がある」とSophosのセキュリティ研究者、チェスター・ウィスニウスキー氏はNaked Securityブログで指摘している。

 同氏によれば、つまりAppleとMac App Storeの開発者は違法コピーのせいで正規の売上のチャンスを逃してしまうことになるが、それよりもさらに憂慮すべきは、有効性確認の手順の多くが省かれているらしい事実だという。中には、領収書のチェックのほかにも、幾つか確認の作業を怠っている開発者もおり、そうした開発者はそのせいで自分のアプリに改変の可能性を与えてしまっている、と同氏は言う。

 また同氏が確認したところでは、中には、別の実行ファイルを含むよう改変を施し、ユーザーをだまして意図とは違う何かを実行させることが可能なアプリもあるという。同氏は動画を作成し、Angry Birdsの実行ファイルをいかに簡単にFirefoxのコードに置き換えられるかを紹介している。ユーザーには、プログラムはAngry Birdsであるかのように見え、OSもAngry Birdsとして認識しているが、いざ実行してみるとFirefoxが開くというものだ。

 「この先、予期せぬ動作を実行するための罠が仕組まれた違法コピーアプリの市場が急速に拡大したとしても、驚きではない」とウィスニウスキー氏は言う。

 AppleはMac App Storeのプログラムを個々に確認し、一連の審査を通過しなければ、ストアには掲載しないシステムをとっている。グルーバー氏によれば、領収書の有効性確認という基本的な要素を審査せずにAppleがアプリを承認したのは驚くべきことだという。

 Appleによると、Mac App Storeのアプリダウンロード件数はオープン初日に100万件を超えたという。有料アプリと無料アプリの内訳は不明だ。

 またAppleがどの程度厄介に思うかは分からないが、Gizmodoによると、Hackulousと呼ばれるグループは既に「Mac App Storeのどんなアプリの保護でも破ることができる」という、Kickbackと呼ばれるプログラムを開発済みという。ただし、このプログラムの公開は来月以降の予定という。「Mac App Storeが十分に定着するまで、われわれはKickbackを公開するつもりはない。開発者が十分にアプリを登録してから公開するつもりだ」とDissidentと名乗るこのグループの広報担当者はGizmodoに語っている。

 HackulousはこれまでにiPhoneとiPadのセキュリティも破っている。

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -