Apple EU圏内で代替アプリストア利用可能に

EUのデジタル市場法が数週間前に施行され、代替アプリストアと本当の意味でのサードパーティ製ブラウザーがiPhoneに提供されることになりました。これにより、セキュリティにどのような影響があるのでしょうか?また、iOSユーザーが失うものは何なのでしょうか?

Appleフェア:iOSに代替アプリストアが参入

iOSは、その誕生から17年間という長い間、侵入不可能な要塞のようなものでした。ユーザーがアクセスできるのは、Appleが許可したアプリや機能だけでした。しかし現在、米国企業は市場と規制の圧力に屈せざるを得なくなっています。EUのデジタル市場法(DMA)が施行された3月6日の時点で、新しいiOSのバージョン(17.4)では、代替のマーケットプレイスやサードパーティのブラウザーをiPhoneにインストールできるようになりました。ただしこれは、EUのユーザーに限定されています。同時に、ブラウザーで動作しホーム画面にアイコンとして追加されるプログレッシブウェブアプリ(PWA)のような、一部のおなじみの機能がなくなります。このことで、ユーザーが新しくできるようになることは何でしょうか?また、どんな脅威が発生するようになるでしょうか?

代替アプリストアのインストール方法

公正な競争を確保する目的で、規制当局はAppleに対し、iPhoneでサードパーティ製アプリのマーケットプレイスを許可するよう要求しました。ユーザーは、代替アプリストアのWebサイトにアクセスし、インストール(つまり、アプリストアのアプリのインストール)をタップし、意思を明示的に確認した後、自分のデバイスにアプリストアのアプリをインストールすることができるようになります。このアプリは、AppleのApp Storeの代わりに使用することも、併用することもできます。

これらの代替アプリストアのコンテンツや、アプリストアを開発したいと考えている層についてはまだ不明です。重要なのは、これらのアプリストアはAppleのすべてのルールを守る必要がないため、これまでAppleによって制限されていたサービスや技術(特に、App Store以外での支払い)なども利用可能になることが期待されるということです。Epic Gamesは、Spotifyと並ぶこの訴訟の主要なロビイストであり、おそらくアプリマーケットプレイスの開設を望んでいることでしょう。もっとも、Apple対Epic Gamesのせめぎ合いの最新のエピソードを見る限りでは、これはずっと先のことになりそうです。

重要なのは、Appleが無秩序な状態を防ごうとしていることです。アプリのマーケットプレイスを登録するには、開発者は審査を通過し、100万ユーロのスタンドバイ信用状を提出する必要があります。同一のアプリの異なるバージョンをApp Storeと代替ストアの両方にアップロードすることは禁止されています。開発者がどのストアでもアプリを公開したい場合は、同一のものでなければなりません。最後に、すべてのアプリはAppleの「公証」を取得する必要があります。このプロセスとmacOSの公証の同一性が証明された場合、Appleは手動でレビューするのではなく、マルウェアの自動スキャンを実行し、特定の技術的推奨事項への準拠をチェックすることになるでしょう。

セキュリティへの影響:iOSのマルウェアの数の増加が予想されます。Appleはサードパーティ製アプリのインストールを部分的に規制し続けるでしょう。Androidのように、設定のボタンをタップして、不審なWebサイトから未知のアプリをインストールすることはできません。とはいえ、クパチーノのエンジニアがサードパーティ製アプリのマーケットプレイスのために設計した自動スキャンプロセスは、App Storeのモデレーターによるレビューに比べればすり抜けるのは簡単でしょう。つまり、iOS上のマルウェアの量と種類が増える可能性が高くなるということです。

明らかなマルウェア以外にも、詐欺的なコンテンツや支払い方法が不透明なアプリの出現による高いリスクを、Appleが懸念しているのは当然のことと言えます。こうした問題は、自動スキャンで検知できる類のものではありません。

残念なことに、この新しいルールは、AndroidスタイルのOSレベルのウイルス対策ソリューションやセキュリティソリューションをiOSに導入することには何の役にも立ちません、というのも、後者にはまだそのようなことに必要な機能が欠けているからです。したがって、サードパーティのアプリのインストールや、そこからのダウンロードの前に、慎重に検討することをお勧めします。大企業が作成したマーケットプレイスをインストールして、数千万回ダウンロードされている有名なゲームを入手するのはおそらく安全でしょう。しかし、以前Androidのユーザーに向けてお伝えした常に用心するようにというアドバイスは、現在、ヨーロッパのiOSユーザーにも当てはまります。ここで思い出してほしいことは、Google Playからのマルウェアのダウンロード数は、昨年6億件を超えたという事実です。

プライバシーへの影響:Appleによりますと、アプリ内トラッキングの制限が、サードパーティのストアからダウンロードされたアプリに適用されるとのことです。しかし、開発者がアプリをApp Storeにアップロードする前に記入するアプリのプライバシーに関する詳細は、他のアプリストアではあまり詳細でなかったり、存在しなかったりする場合があります。

ペアレンタルコントロールへの影響:スクリーンタイムの制限はどのアプリでも引き続き機能しますが、代替のマーケットプレイスからダウンロードされたアプリでは、ゲーム内や家族による購入の制限、および保護者による確認が必要なアプリの購入リクエストが適切に機能しなかったり、存在しなかったりする可能性があります。

サードパーティのブラウザー

iOSの代替ブラウザーは目新しいものではありませんが、DMAの施行前は、iOSでWebコンテンツを表示するための唯一の選択肢であったAppleのWebKitエンジンをラップするスキンにすぎませんでした。Appleは今後、他のエンジンの使用を許可する予定ですが、それは特別な認証手続きを通過した後に限定されます。実のところ、他のプラットフォームにおけるブラウザーエンジンの状況も決して良いとは言えません。ほぼすべての「代替」ブラウザーは、Googleが管理するChromiumコード(Blinkエンジン)をベースにしています。Firefoxで使用するMozillaのGeckoは注目すべき市場シェアを持っていますが、消費者の選択肢としてはそれくらいしかありません。

GoogleもMozillaもiOSでBlinkとGeckoをローンチする準備をしていることが確認されているので、EUのユーザーが本格的なFirefoxとChromeブラウザーを目にする日も近いかもしれません。EUのユーザーは、Safariを初めて開く時、または任意のアプリからWebページを開く時、既定のブラウザーを選択できるようになります。

セキュリティへの影響:ある部分ではセキュリティが向上し、別の部分では悪化するという両面的な影響が予想されます。既知のWebKitの問題に加えて、FirefoxとChromeの両方にも欠陥が潜在する可能性があり、これらの欠陥がそれぞれの開発者によってどれだけ迅速に修正されるかはまだわかりません。しかし、脆弱性修正プログラムの適用に関しては、両者とも確固たる定評があります。一方、WebKitを含むAppleソフトウェアのゼロデイ脆弱性は常に、スパイウェア(Pegasusのような商用スパイウェア、Triangulationのような標的型スパイウェアの両方)を使用した、iPhoneへの主要な攻撃経路でした。現在、これらの攻撃の背後にいる開発者は、被害者がSafari/WebKitブラウザーを使用していることを確実に知っています。今後は、ブラウザーのあらゆる選択肢を考慮する必要があるため、これらの攻撃の設計と実行はより困難になるでしょう。

プライバシーへの影響:これらは、選択した代替ブラウザーによって異なります。WindowsとmacOSに対応するブラウザーを判断基準とするならば、Firefoxへの切り替えにより、プライバシーのレベルが向上するか、Safariと同等のレベルに維持される可能性があります。一方で、Chromeを使用すると、プライバシーのレベルが低下する場合があり、これらのブラウザーのトラッキング防止ツールやデフォルト設定でもこのことが指摘されています。

ペアレンタルコントロールへの影響:代替ブラウザーが望ましくないコンテンツから子どもを保護する方法はまだ不明ですが、コントロールの設定は技術的に難しくなるようです。したがって、その効果には疑問が残ります。

目立つ損失

欧州のユーザーは、DMAによって得をすることもあれば損をすることもあります。後者に関して言えば、代替ブラウザーに必要な機能を実装するために、AppleはEUにおいてプログレッシブWebアプリのサポートを完全に終了しようとしています。これらのアプリは基本的にはWebページですが、正式なアプリと区別するのは困難です。デバイスにコンテンツを保存したり、通知を送信したり、その他の動作が非常に似ているためです。オンラインストア、雑誌、レストランなどがアプリとして通常選択するのは、PWAです。iPhoneのホーム画面に簡単に追加できるこれらのミニアプリは、iOSの次回のアップデート後は、EUでは機能しなくなります。PWAとしてアプリをパッケージ化しているすべての企業が、この変化に適応するのに十分な時間があるとは限りません。

EU外でのサードパーティ製ブラウザーとアプリのマーケットプレイスの可用性

Appleは、この新機能が法的に義務付けられている地域、つまりEU内でのみ利用可能とするために、多大な労力を費やしています。EU加盟27か国のいずれかで登録されているユーザーのみが、ここで説明されているiOS17.4のアップデートを入手できます。他国の居住者はこの変更の影響を受けないため、オランダのVPNをオンにしたり、休暇でキプロスに行ったりするだけでは、ここでお話ししたiOSアップデートを入手することはできません。さらに、EUの居住者であっても、EU圏内から30日以上離れると、EU圏内に戻るまで、サードパーティ製アプリのマーケットプレイスからアプリのアップデートにアクセスできなくなります

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?