iPhoneの安全性を左右するサイドローディング議論 2024年以降の最終決定に期待(1/3 ページ)
ワーキンググループ「デジタル市場競争会議」で議論が進んでいる「サイドローディング」などに関する情報や最新の動きを、林信行氏が改めてまとめた。
2月に筆者が執筆した記事「Appleにマイナンバー搭載を要請しつつ安全性を下げる規制強要の矛盾」は大きな反響を呼んだ。記事への反響で、多くの人々がスマートフォンが自分のプライベートな情報を安心して預けている道具であり、誤った政策でその安全性が脅かされる可能性に困惑していることが分かった。
記事の掲載から1カ月以上が経ったところで、政府も動きを見せてきた。
3月には「デジタル市場競争会議」の作業部会が、非公開でGoogleを呼び聞き取りを行った旨が朝日新聞や日本経済新聞によって報じられた。4月5日には、それに続いてAppleの担当者にも聞き取りが行われた旨が朝日新聞によって報じられた。
記事では「年内にも最終報告書」と、年末までかけてじっくりと検討を行うことを匂わせる書き方になっている。もし、この通りだとしたら、これは大きな前進だと思う。
本稿では、最新の報道を受けての筆者の見解と、前回の記事に対してあった指摘へのフォローアップを行ってみたい。
マイナンバー記事への主な反論について筆者の見解
先述した記事ではかなり多くの人が記事に賛同してくれた一方で、2種類ほどの有意義な反論もあった。本題に入る前に、まずはそれらの反論について筆者の見解を述べさせてもらいたい。
反論の1つに「サイドローディングは、EUのデジタル市場法(DMA)では可決されている」という指摘だ。これはその通りである。
しかし、EUがサイドローディングを認めているから、日本では独自な考えを持たずに横並びで真似するというのは、「自ら考えることを放棄する」考え方だ。もし「他国がやっているから日本もやる」というのが主要な判断基準になるなら、そもそも日本ではこうした検討委員会は不要である。乱暴な言い方をすれば、今後、判断をEUに外注した方がよい。
日本では、iPhoneにマイナンバーカードの機能を入れて持ち歩こうとするなど、ヨーロッパとは事情が違う部分も多い。そもそもEUの判断が間違いで、これから大問題が起きる可能性もある(EUのサイドローディング強制はまだ施行されていない)。
日本は日本で慎重に議論を重ねるべきだ、というのが私の意見だ。おそらく、日本政府も、この点についての考え方は同じだろう。だからこそEUの判断に言及することはあるが、あくまでも独自の判断に基づいて立法化しようと委員会を立ち上げて検討を重ねている。
もう1つの反論が、万が一、iPhoneにマイナンバーカードの機能が搭載されたとしても、秘密にしておくべき大事な情報は「セキュアエレメント」という部分に保管されているので、サイドローディングによってiPhone上に悪さをするアプリがインストールされても、そうした情報は無事だという意見だ。
この意見は一部正しいと思う。サイドローディングによって悪意のあるアプリがインストールされる危険があったとしても、これらのアプリによってセキュアエレメント上の情報が暴かれる可能性は極めて少ない。
ただし、こうした指摘をしている人は、おそらくセキュリティに疎く、想像力が少し足りないアマチュアの人たちだと思う。
ここで一度、読むのを止めて1〜2分間想像してみてほしい。あなたが悪意あるハッカーでサイドローディングが可能になったら、マイナンバーカード機能搭載iPhoneからどうやって重要情報を抜き出すか? 実は、意外といろいろな方法が思いつくはずだ。
悪意を持つ人達にヒントを与えたくないので、全部のアイデアを列挙するつもりはないが、筆者なら真っ先に思いつくのが、マイナンバーカードを扱う公式アプリそっくりの偽アプリを作るという、いわゆるフィッシングアプリ配布という方法だろう。
画面設計をそっくりにして、パスワードを含む重要情報を盗み出すといった手法だ。アプリからセキュアエレメントに直接アクセスできなくても、パスワードを含めてさまざまな個人情報にアクセスができる。
そんなことが果たして起きるのだろうか。Webで「偽Google Play(Fake Google Play)」というキーワードで検索をしてみてほしい。サイドローディングを許しているAndroidでは、本物と同じアイコン、同じ表示名のアプリストアが大きな問題になっている。ITに慣れた人なら「自分は間違えない」というだろう。実際にだまされる人は、数%いるかいないかかもしれない。しかし、数%の人がダマされれば詐欺のビジネスは十分に成り立つ。
これとは別に、キーロガーという方法もある。例えば日本語文字入力などのアプリのフリをしてパスワードなどの入力を全て記録してしまうタイプのアプリだ。
そこまで直接的な「盗み」を働かないまでも、例えばマイナンバーカードの情報が、どんな日時に何回使われたかと言った記録を取得できるだけでも、悪事を働く人には有益となる。
政府がスマートフォンに搭載したマイナンバーカードでどこまでの利便性を追求するかによっても状況は変わってくる。本当は他のアプリ(例えば入国管理のアプリ)などとの連携を高めれば利便性は向上するが、サイドローディングを許した状態で、こうした利便性を高めてしまうと危険性は一気に増す。
では、サイドローディングをするからと利便性を低めたら、多少安全性はマシになるかもしれないが、「こんなに使い勝手を悪くするのなら、そもそもスマートフォンにマイナンバーカード機能を搭載する必要があったのか?」という議論にもなりかねない。
問題は「セキュアエレメント」にアクセスできるか否かではなく、「マイナンバーカード機能を持つ、プライベートな道具に率先してセキュリティの抜け穴を作ってしまっていいものかどうか」、というのが筆者の問題提起だ(ちなみに、サンドボックスというデータ保護の仕組みや、セキュアエレメントも完璧ではない、と指摘する声もある)。
関連記事
Appleにマイナンバー搭載を要請しつつ安全性を下げる規制強要の矛盾
Appleが提供するiPhoneとApp Storeに、日本政府がいくつかの要請を行っている。その実態や中身はどうなのか、林信行氏がまとめた。
自由競争をうたって無法地帯を広げるIT企業に、政府はどのような後方支援をすべきか
新たな市場を開拓するIT企業に、政府はどのような後方支援をすべきだろうか。キャッシュレス決済、App StoreやGoogle Play Storeとの比較などを踏まえて考えてみた。
AppleがAndroidのマルウェアの実態を報告 「サイドローディングが元凶」と指摘
Appleが「Building a Trusted Ecosystem for Millions of Apps」と題したホワイトペーパーを公開し、「サイドローディングがマルウェアを成立させている元凶」と指摘した。その意図を林信行氏が解説する。
Apple ティム・クックCEOが3年ぶりに師走の日本を訪問する意味
Appleのティム・クックCEOが日本各地を訪れている。3年ぶりの来日となった同氏の訪問やその意味を考える。
テクノロジーの発展を加速してきたインクルーシブな試み【Microsoft編】
テクノロジーが困っている人を助け、そして新たな発展へと結びつく――林信行氏が、ITメーカー各社のインクルーシブな試みを取り上げていく連載、スタートです。
Copyright © ITmedia, Inc. All Rights Reserved.