スマホ新法でアプリストアが民主化 セキュリティ観点で考えられる"最悪のケース":半径300メートルのIT
多様なアプリストアを選択可能にすることでOSベンダーの寡占状態を脱し、競争の促進を狙う「スマホ新法」が2025年12月に施行されます。これにはもちろん多くのメリットがありますが、セキュリティ観点でデメリットもあることを忘れてはいけません。
「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」、いわゆる“スマホ新法”が2025年12月に施行されます。これはOSベンダー以外のアプリストアなどを選択可能にすることで寡占状態を脱し、文字通り競争の促進を狙うもので、世界でも同様の法律が整備されつつあります。
最新のβ版「iOS」では、日本でもサードパーティーのアプリストアが利用可能になると、Apple製品に関する情報を発信しているニュースサイト「MacRumors」によって報道されています。
実質今はiOSの「App Store」や「Android」の「Google Play」による寡占状態です。この仕組みは競合ベンダーのアプリを排除できてしまうため多くのデメリットがあります。
ただ、この状況をセキュリティ観点で俯瞰(ふかん)するとデメリットよりも現状はメリットの方が大きいと、筆者は感じています。もちろん、サードパーティーのアプリストアそのものを否定するつもりはありません。しかしこれをどう“信頼”するか、という根本の問題があると思っています。
スマホ新法でアプリストアが民主化 これにあの攻撃が組み合わさると……
この連載で以前も取り上げた「ClickFix」という攻撃を覚えているでしょうか。この攻撃手法に対抗する最大の手段は“知ること”ですので、ここでもう一度振り返らせてください。
ClickFixとは、一言で言えば人間を直接攻撃する手法です。これまでであれば、攻撃者はOSやアプリの脆弱(ぜいじゃく)性を探し、それを悪用して不正なプログラムを実行させようとしていました。不正なプログラムが通ってしまえば、攻撃者はあなたのデバイスを自由に操作できます。しかしそれはあくまでマルウェアが実行できたからこそ。その“実行”を得るために脆弱性を経由していたわけです。
しかしベンダーも重大な脆弱性があればすぐにパッチを提供するようになりましたし、セキュアコーディングを開発プロセスに組み込み、そもそも脆弱性を作らないという努力をし始めました。そのため“脆弱性があること”は“マルウェアが実行できること”に直接つながらなくなりました。われわれの勝利です。
ただ、敵もさるもの。次はその最も難しい“実行”部分を、利用者にやらせてやろうと考えました。それが電子メールに添付されたマルウェアだったり、ダウンロード先のファイルをマルウェアに差し替えたりと、あなたをだましにかかるという手法です。
かつては「オフィスで撮った記念写真だよ」や、「デートのお誘い」といったタイトルで釣ってきました。つい最近もマルウェア「Emotet」が「請求書」「給与明細」といった言葉で利用者をだまし、クリックさせて開かせる(つまり、実行させる)ことで被害を広げてきたのは有名な話です。これらも知らなければだまされ、マルウェアに感染してしまうパターンです。
フィッシングも一通り認知が進み、被害は多いものの多くの方がその詐欺手法を知るようになってきました。そこで攻撃者はさらに考えます。「皆が知らない、それでいて効果の高いだましのテクニックはないか……」。ClickFixが発明された背景はそんなところなのではないかと推測しています。
ClickFixは、CAPTCHAのように「あなたがロボットではないこと」を証明するためのプロンプトに紛れて実行される攻撃です。攻撃者からの指示に従って作業を進めてしまうと、マルウェアをダウンロードし、実行してしまいます。この攻撃の厄介なポイントは、手口について知らなければ、ユーザーですら自分がマルウェアを実行したことに気が付かない点です。
Webサイトを閲覧中に、「Windowsキー+R」など、普段入力することのないショートカットの入力が指示されたときには、最大限の警戒が必要です。関連記事もぜひ、チェックしてみてください。
アプリストア民主化の裏にあるデメリットに注目してみる
App StoreやGoogle Playは安全な課金の経路を確保し、怪しい挙動のアプリをストアに登録できないような仕組みを構築しています(その結果、自由にアプリを登録や販売できないという申し立てが来ていますが……)。
最近ではEpic Gamesの人気ゲーム「Fortnite」がAppleの決済システムを使わない課金システムを導入したことでApp Storeからアプリが削除された結果、係争に発展しました。サードパーティーのアプリストア選択が自由にできるようになれば、こうしたトラブルもなくなるはずです。
ただ“民主化”の際には、悪意のあるアプリストアやきちんとしたアプリストアに悪意が入り込んだ場合、これは悲劇としかいいようがない状況を引き起こします。
これまでは、純正のアプリストアがコードをチェックし、問題を引き起こす手法でのコードがない(可能性が高い)アプリのみを公開していました。しかし、その外でアプリが配信されるとなると、ある意味「マルウェア」だって配信ができてしまう可能性があります。利用者がアプリストアの良しあしを判断できないのは、フィッシング攻撃を見てもあきらかです。
であれば、そもそもアプリストアを厳選すればいいという考え方もClickFixの登場で怪しくなってしまいました。攻撃者は頭を捻り、何てことのない作業の中にそれを埋め込み、言葉巧みに指定のアプリストアを追加、アプリを「無料でダウンロード」させてくるかもしれません。
これはセキュリティに携わる人特有の「最悪なシナリオを考えたケース」ではあります。しかし、もはや私たちの最悪をはるかに超える状況が続いており、このサードパーティーによるアプリストア解放が、PCよりも格段に安全だとされていたスマートフォンにおける「パンドラの箱」になり得る非常に大きな事件につながると考えられます。
決して「アプリストア解放を今から止めよ」とは言いませんが、ビッグテックによる独占状態からの解放という点だけでなく、それによるリスクがあなたやあなたの家族にどう影響があるかを、あらかじめ知っておいてほしいと思います。特に子どもたちにとっては、「あのアプリが無料でダウンロードできる」といった言葉の吸引力がすぐに想像できますので、この機会にアプリストアのリスクを知ること、そしてできる限りのペアレンタルコントロールを設定することを推奨したいと思います。もしかしたら、企業においても従業員に対してのポリシー定義の徹底、加えて知識共有が必要なタイミングかもしれません。
引き続き、このアプリストア解放に関しては、そのメリットの裏にあるリスクに注目してください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新
NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。
攻撃者にチャンス到来? パスキーを脅かすのは誰だ
パスワードに代わる安全な認証手段として注目を集めているパスキー。普及が期待されているこの技術は本当に素晴らしいものですが、そこにはあるリスクが存在します。「X」が発表した“要請”からそれをひもときましょう。
脅威グループ「Qilin」の手口を調査 侵入からランサムウェア実行までに迫った
Cisco Talosは、アサヒGHDに攻撃を仕掛けたと主張しているランサムウェアグループ「Qilin」の攻撃手法を詳細に分析した結果を公開した。システムへの侵入からランサムウェアの実行までどのような手法を駆使しているかを詳述している。
質問だけで情報が漏えい? ChatGPTに7つの脆弱性が見つかる
Tenableは大規模言語モデル(LLM)に7件の新たな脆弱性を確認した。これらの脆弱性はGPT-5にも存在するという。間接プロンプトインジェクションやゼロクリック攻撃によって、Webの埋め込み命令から個人情報が漏えいする可能性があるという。
関連リンク
- iOS 26.2 to Allow Third-Party App Stores in Japan Ahead of Regulatory Deadline - MacRumors
- 「スマホ新法」でAppleとGoogleの寡占はなくなる? メリットと問題点を整理する(ITmedia Mobile)
- ClickFix(クリックフィックス)とは? 多様な攻撃に悪用されるソーシャルエンジニアリングの手口(トレンドマイクロ)
- たったこれだけでマルウェアに感染? “古くて新しい”サイバー攻撃の手口(ITmedia エンタープライズ)
- マルウェアEmotetの感染再拡大に関する注意喚起
- iOSまたはiPadOSに『フォートナイト』をインストールするにはどうすればいいですか?(Fortnite Battle Royaleのサポート)