Sign in with Apple:プライバシー重視のクイックログイン

Appleは、Webサイトやアプリのクイックログインのための新システムを発表しました。すでにあるその他ログイン方法と、何が違うのでしょうか。

6月上旬のWWDC(Worldwide Developer Conference)で、Appleは新しい認証システム「Sign in with Apple(Appleでサインイン)」(英語記事)を発表しました。Webサイトやアプリのアカウントを新規登録する際にApple IDを使えるようにするというもので、ワンクリック、ワンタップでログインが完了します。発表によると、今年の夏にベータテストを行い、年末には一般の利用者が使用できるようにする計画です。

アイデア自体は新しいものではなく、FacebookやGoogleは同様のオプションを数年前から提供しています。しかしAppleの方法はこれまでとは基本的に少し異なるようです。その理由をご説明しましょう。

GoogleやFacebookのアカウントでログインする仕組み

多くのWebサイトやアプリには、「Facebookでログイン」や「Googleでログイン」というオプションがあります。ワンクリックで登録でき、新たにログイン名やパスワードを考えなくてもよいので、簡単かつ利便性が高そうです。ログイン先のWebサイトやアプリに対しては、FacebookやGoogleがあなたの身元に関する情報を伝え、さらにあなたのプロフィールからメールアドレス、名前、アバターなどを共有します。しかし、これ以外にも共有される情報があるかもしれません。

FacebookはWebサイトやアプリの開発者に対し、Facebookログインを提示するメリットとして、利用者について短期間では得られない量および質の詳細な情報を得られるであろうと述べています。とはいえほとんどの場合、情報(たとえば連絡先や興味)を共有するかどうか利用者に対して意思確認が求められます。

WWDC 2019でのAppleの基調講演

「Facebookでログイン」や「Googleでログイン」を利用した場合、ログインしたアプリやWebサイトであなたが取った行動について、FacebookやGoogleは確実にすべて知ることになります。たとえばTripAdvisorへのログインに「Facebookアカウントを使う」を選択すると、Facebookはあなたが何を申し込み、どんな評価を下したかの情報を得て、あなたが興味を持ちそうな、直前のおすすめ航空券などの広告を表示します。こういう親切なやり方を好む人もいるかもしれませんが、オンライン上でとった行動を事細かに知られてもいいと思う人ばかりでもありません。特に、Facebookが起こした一連の情報漏洩が記憶に残っている人にとっては、抵抗があるかもしれません。

Appleアカウントでログインする仕組み

「Sign in with Apple」のシステムは、FacebookやGoogleの場合と同じように、ログイン名やパスワードを新たに作成しなくてもWebサイトやアプリにすぐ新規登録できるシステムです。FacebookやGoogleと異なるのは、Appleではプライバシーを重視しているという点です。

Appleは、この新システムを通じてアクセスしたWebサイト内で利用者が取った行動の履歴を残さない、利用者に関する情報をそのWebサイトへは基本的に渡さない、と約束しています。登録先のWebサイトやアプリが得る情報は、利用者の名前、メールアドレス、新規アカウント開設に必要な個別のIDだけです。

「Sign in with Apple」の場合、実際のメールアドレスを共有するかどうか選択できる(出典:WWDC 2019でのAppleの基調講演)

それだけでなく、実際のメールアドレスを隠しておくこともできます。Appleは利用者が登録するWebサイトやアプリに対し、利用者の実際のメールアドレスではなく、ランダムに生成したメールアドレスを知らせます。このメールアドレスは、受け取ったメールを自動的に実際のメールアドレスに転送し、Appleのサーバーには保存しません。このような臨時のメールアドレスは、「Sign in with Apple」を利用してアカウントを新規作成するたびに作られます。臨時のメールアドレスは、いつでも個別に無効化できます。無効化すると、そのメールアドレスにメールを送ってきた人(スパマーを含む)は、あなたとの接点を失います。

ログインする際に使用するランダムに生成されるメールアドレスの例(出典:WWDC 2019でのAppleの基調講演)

このほかAppleが注力するのは、システムのセキュリティです。特に2段階認証のオプションについては、以前から採用しています。Apple デバイスを利用する人は、Face ID、Touch ID、6桁のパスコードを使用して本人確認を行うことができます。

Apple でサインイン―万人向けではない

Appleの新システムは複数のメリットがあるものの、既存のクイックサインインに劣る面もあります。FacebookやGoogleアカウントでのログインは異なるプラットフォームでも使用できますが、「Sign in with Apple」は主にAppleデバイスの利用者を対象としています。

このログインボタンはApple TV、Apple Watchを含むApple製品すべてに実装されると、Appleは述べています。AndroidなどAppleのOS以外が搭載されたデバイスの場合はWebサイトへのログインオプションのみですが、すべてのブラウザー(英語サイト)で機能するとしています。

このほか、「Sign in with Apple」の不正防止機能についても疑問の余地があるように見えます。このシステムは、不正防止機能を使用することで、アカウントにログインしようとしているのが実在する人間かボットかを判別し、ログイン先のWebサイトやアプリに通知します。これによって、他人の名前でログインしようとする悪意ある試みを阻止できる可能性はかなり高いでしょう。

しかしその一方でAppleは、このシステムが完全ではなく、実在する人間を誤ってボットと判定する可能性があると認めています。あなたが新しいデバイスを使って新規利用者としてログインする場合、システム側はあなたについて何の情報も持っていないので、あなたのふるまいを疑わしいと判定するかもしれません。そうした場合にログインできるのか、判定後にどんなことになるのかは、不正防止機能が提供する情報をWebサイトやアプリの側がどう扱うかに左右されます。

Sign in with Apple:利用者に選択肢がなければならない

これまでのところ、「Sign in with Apple」に対するアプリ開発者の熱意は高くないようです。利用者についての情報が多いほど、その人に合った広告を提示でき、ひいては広告主からお金を引き出すことができます。Appleのボタンによってアプリが得られる情報は少なく、したがって収益性は良くないのです。それでも、開発者はこの新技術を無視できません。

同システムの展開にあたり、Appleはかなり先鋭的な方法を採りました。Google、Facebook、その他サードパーティによる認証手段を提供するアプリをApp Storeで配信する場合、開発者は「Sign in with Apple」も選択肢に加えなければなりません。Appleは、さまざまなWebサイトやアプリによるデータ収集するのを許すかどうか、利用者自身に選択肢がなければならないとしています。

自分で考えたログイン名とパスワードを使って登録する方法のみを採用するアプリの場合、要件はこれまでと変わりません。それでも、Appleが市場を独占する立場を利用して開発者に圧力をかける様子は、これまでにも見られたとおりです。

このように「Sign in with Apple」は、個人情報を本当に必要でない限り共有したくない人にとっては便利な認証方法ですが、今のところFacebookやGoogleでのログインほどの応用範囲はなさそうです。また、この新システムに関する情報は、開発者向け資料だけです。実際どのように実装されるのかは、追って明らかになるでしょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?