Appleにマイナンバー搭載を要請しつつ安全性を下げる規制強要の矛盾（2/4 ページ）

Appleが提供するiPhoneとApp Storeに、日本政府がいくつかの要請を行っている。その実態や中身はどうなのか、林信行氏がまとめた。

[林信行，ITmedia]

App Storeに“穴”を開ける規制

マルウェアの状況については、多くの統計情報を発表しているAV-Testが、2019年に出した統計でAndroid用マルウェアの93.9％がトロイの木馬型、つまり素行調査不十分な形で流通したアプリを介して広がったものだとされている。政府の規制によってiPhoneも同様の状況にさらされるのかは大きな懸念事項だ

　サイドローディング（またはアプリ代替流通経路）を許すと、あなたのiPhoneに記録されている生年月日や住所などを含む個人情報、連絡先情報、予定、プライベートなメールやパスワードなどが他の人に漏えいする危険があったり、これらの情報が身代金目的の誰かにロックされて利用できなくなったりするといった事態が起こりうる。

　EUのサイバーセキュリティエージェンシー「ENISA」が2019年1月から2020年4月にかけて行った調査では、マルウェア（悪意のあるソフトウェア）への感染は世界で毎日23万件発生している。その多くはPCで発生している被害だが、Statistaが2020年3月に出した統計によれば、Androidスマートフォン市場では1カ月あたりに48万2579の異なるマルウェアが検出されたという。

　これと比べると、先にも紹介したNokiaの統計通り、iPhoneの危険性は圧倒的に少ないが「AndroidスマートフォンはiPhoneと比べて15〜47倍」ということはiPhoneは確かにマルウェアの被害が少ないものの、ゼロではないということでもある。

　では、こうしたマルウェアが侵入すると、どのような危険があるのだろうか。

　弁護士でありサイバーセキュリティのエキスパートでもある八雲法律事務所の山岡裕明氏は、サイバー犯罪は主に3つに分類されるという。

八雲法律事務所の山岡裕明弁護士。カリフォルニア大学バークレー校（UCB）のMaster of Information and Cybersecurity 修了という経歴を持つ八雲法律事務所の山岡裕明弁護士。難しいセキュリティの問題を分かりやすい例え話や、自らコーディングしたWebサービスのハックを実演したり、ダークWebに実際にアクセスしたりして、どんな危険があるかを分かりやすく解説する。内閣サイバーセキュリティセンター サイバーセキュリティ戦略本部にも関わっているが、サイドローディングの危険性を強く指摘している。エキスパートとしての観点から第2、第3のアプリストアがあると、脆弱（ぜいじゃく）性が見つかった時の対応が遅れる点なども指摘している

　「泥棒に例えると家の正面玄関から入るパターン、郵便受けから侵入するパターン、そして家の設計ミスを狙って侵入が想定されていない経路から侵入するパターン」だという。

　正面玄関突破型は、犯罪者があなたのIDとパスワードを入手して、あなたの情報を盗むというものだ。現在は多くの人のIDやパスワードなどの情報がダークWebなどで違法に販売されており、ターゲットにしたい企業名などで検索すれば1件あたり1000円ほどで買えてしまう。サイバー犯罪全体の実に9割はこのパターンだと山岡氏は言う。

　コロナ禍にランサムウェアの被害にあったニップンや徳島県つるぎ町立半田病院、大阪急性期・総合医療センターなども、このパターンだそうだ。他にも正解になるまで、あらゆる文字の組み合わせでパスワードを当てようとするブルートフォースや、WordPressなどWebページ作成に使われているツールの初期設定のパスワードで侵入を試みる方法などもある。

　2つ目は、フィッシング（詐欺）メールなどを使って侵入をするパターンだ。以前は日本語がカタコトで、すぐに怪しいメールと判別ができたが、最近はAIによる翻訳の精度が上がったことや日本人が犯罪に加担し始めている影響で、このパターンの危険度も上がっている。

　とはいえ、これら2種類のサイバー犯罪は、サイドローディングなどのアプリの流通経路には関係ない。

　「サイドローディング／アプリ代替流通経路」で危険にさらされるのは、3つ目の「設計ミス」、いわゆる脆弱性を狙った攻撃だ。

　スマートフォンのOSやアプリなどは、全て（現時点ではまだ）人が作ったプログラムであり、そこにはほぼ必ず設計ミスが存在する。こうした設計ミスを突くことでプログラムは予想外の挙動をすることがあるが、それを試行錯誤して研究し中に侵入したり、必要な情報を引き出したりするのが脆弱性攻撃だ。

　サイドローディングが行われ、十分な素行調査が行われないアプリがインストールされると、ユーザーが何かの他の目的でインストールしたトロイの木馬型アプリがユーザーの知らないところで、こういった脆弱性を突いて情報を盗むなどの悪さを始める。

　「Androidに比べればかなり少ないが、iOSにも脆弱性は存在する」と山岡氏は言うが、内閣官房デジタル市場競争本部はどう考えているのか。

　この2月に、有志のITジャーナリスト達が集まって行われた勉強会で、同本部が1月に行った会議の資料が回覧された。資料には「アプリ代替流通経路の類型ごとの脅威分析」として、「アプリによる他のアプリやストレージへの攻撃については、モバイルOSの機能として備わっているサンドボックスにより防御が一定程度可能」である。

　しかし他方で、「ユーザーがアプリに各種情報へのアクセスの許可を与えた結果として情報が搾取されたり、端末に不要な負荷をかけたりするような一定の脅威については、サンドボックスによる防御が困難」と、実はその危険性を認識している。

　にも関わらず、その文章の真下の表では、「他のアプリやストレージへの攻撃」への対策として「サンドボックスで対応」すると、まるでサンドボックスが完璧な防御になっているかのような書き方だ。数行上にある本文では、「一定程度の防御」だったはずなのに、表ではいつの間にか話がすり替えられている。

　ちなみにサンドボックスとは、OSや個々のアプリを、それぞれ分離した領域で実行するという技術だ。言うなれば無菌の手術室の手術道具を1つ1つ全て滅菌した袋に入れて管理しているようなものだ。このためサイドローディングで入手した「野良アプリ」が、OSや他のアプリに対して悪さをしようと試みても、このサンドボックスの壁によって守られるというのが原則であり、同本部の資料で提示されている安全性の根拠だ。

　しかし、先の山岡弁護士は「サンドボックスも完璧ではない」と指摘する。実際にAppleは数週間に1回ほどのペースでセキュリティに関するOSのアップデートを行っている。最近行われたアップデートの1つ、iOS 16.2でも25個の脆弱性が見つかっており、そのうち2つはサンドボックスに関するものだ。

　同氏は「最高峰のセキュリティを誇るといわれる、AppleのiOSでも完璧ではない」という。悪意ある人たちの間でこうした情報をAppleが把握する前に広がれば、そこを突いて情報を盗み出されたりする危険もある。

　いずれにせよ、サイドローディングを認めることでiOSのセキュリティレベルが下がることはあっても、上がることはない。

iOS 16.2およびiPadOS 16.2 のセキュリティコンテンツについての詳細。AppleはOSをアップデートした際、どのような変更が行われかの詳細を公開しているが、セキュリティに関連した変更については、別のページに記載されている。上記は2022年12月13日にリリースされたiOS 16.2に関するものだ。何とOSの基盤であるカーネル部分に、アプリがサンドボックスを破って実行される危険をはらむ脆弱性が発見され修正されていた

　山岡弁護士や先の日本スマートフォンセキュリティ協会のように、名前を出して自らの責任において危険性を訴えている専門家が多くいる一方で、デジタル市場競争会議の資料の中で、サイドローディングの必要性やサンドボックスの安全性を唱えているのは、素性の明かされていない消費者団体やセキュリティの専門家達だ。

　素性が明かされていないということは、それらの専門家がApp Storeと何らかの直接的利害関係があったりして、最初から消費者の安全性よりも自らの利益優先で、結論ありきの議論を行っている可能性もある（匿名のため自分の意見に責任を持つ必要もない）。

　もし、本当にサイドローディングの容認がセキュリティ上のリスクにならないと信じるのであれば、例えばデジタル庁のサイバーセキュリティ担当の責任者など、自らの信頼がかかっている人が、その専門性や責任においてそう述べる必要があるのではないか。

　なぜなら、冒頭でも説明したように、iPhone（スマートフォン）の安全性は、すなわち国内のスマートフォンユーザーの半数近くという、多くの国民の日々の安心／安全に直結する問題だからだ。