消費者を守るために、米国議会はアプリストアのサプライチェーンを保護するべきだ

2022年2月上旬、ユーザーの携帯端末に未審査のアプリケーションをインストールできるようにすることなどを端末メーカーに義務づける法案「Open App Markets Act」が、米国上院司法委員会で承認された

この法案は、スマートフォン黎明期から続く、公式アプリストアからしかアプリケーションをインストールできない「壁に囲まれた庭」のようなアプリ流通モデルに対峙する。多くの人が、アプリストアの競争によって消費者にもたらされる潜在的な利益に注目しているが、本法案の一部は、監視されていないルートでのアプリ配信を可能にすることで、意図しない、しかし潜在的に重大なデバイスセキュリティのリスクを導入するものだ。

今日の「壁に囲まれた庭」モデルからの脱却は、ユーザーに新たなセキュリティリスクをもたらし、ユーザーはより多くの悪質なアプリが存在するストアを利用することになるかもしれない。Apple(アップル)、Microsoft(マイクロソフト)、Google(グーグル)などの大手ソフトウェア企業が運営するアプリストアでは、販売するアプリにマルウェアや脆弱性がないかどうかを審査している。

このような審査は、特に人による審査がない場合、不完全である可能性があるが、これらのストアの管理された性質は、悪意のあるサイバーアクターがアプリを使用してユーザデータを盗んだり詐欺を行ったりする能力を大幅に低下させる。

これに対し、中国に多く存在するような規制の緩いアプリストアは、マルウェアを含む危険なアプリの温床となる。最も基本的なセキュリティチェックが行われていない規制の不十分なアプリストアは、データを盗んだり詐欺にあったりする危険なアプリをユーザーが簡単にダウンロードできるようになるため、消費者のリスクが増大する。

アプリストアは、現代のソフトウェアサプライチェーンの中心的な役割を担っている。アプリストアが消費者に提供するアプリは、私たちの日常生活に欠かせないものであると同時に、非常に機密性の高いデータと結びついている金融、健康、個人向けサービスなどを含んでいる。

個人および中小企業は、大企業が自社のデバイスにインストールできるソフトウェアを管理するためにつかうのリソースを持たないため、悪意のあるアプリによってデータを盗まれたり、詐欺にあったりするリスクが高くなる。

例えば、最近のFlubotマルウェア攻撃は、標的型テキストメッセージを利用して受信者に不正アプリをダウンロードさせ、攻撃者が金融情報を盗み出したりメッセージを傍受したりすることを可能にするものだった。このマルウェアは、Googleのアプリストア以外からのアプリのインストールを許可するようユーザに要求するもので、不正アプリが無防備なユーザにいかに大損害を与えるかを示す例になっている。

Flubotは、危険なソフトウェアを使用して機密データを盗んだり、データの身代金を要求したりする、より大きなトレンドの一部に過ぎない。このような傾向の危険性は、公式ストアのようなアプリ審査やセキュリティスクリーニングがない無規制のマーケットプレイスへの移行によってさらに拡大します。

アプリの自由な「サイドローディング」(公式アプリストア以外からアプリをインストールすること)を許可すると、ウェブ上のどこからでもアプリをインストールできるようになり、さらに大きなリスクが生じる。これにより、ユーザはより多くの無料アプリにアクセスできるようになるかもしれないが、同時に、ユーザを騙してマルウェアが仕込まれたアプリをインストールさせる攻撃の重大な機会を生み出すことにもなる。そのインストールの結果が銀行口座が空っぽの銀行口座であれば、無料アプリは無料とは言えない。

幸いなことに、米国議会は、消費者であるエンドユーザーを保護するために、新しいアプリストアに対してセキュリティ基準を課すことができる。

まず、アプリストアに対して、人間によるレビューを含む、基本レベルのセキュリティレビューとアプリの監視を義務付けることができる。人間による審査は、アプリが使用する権限がアプリの広告を反映していることを確認するのに役立ち、悪意のあるアプリが想定外のことを行うのを防ぐのに不可欠なステップとなる。

第二に、米国やその他の政府は、無制限の「サイドローディング」を義務付ける計画を断念すべきだ。一般的なエンドユーザが、付随するセキュリティリスクを理解しないまま、数回のクリックで未知のアプリをインストールできるとしたら、そのリスクはあまりにも大きすぎる。

最後に、悪意のあるアプリをインストールするリスクを減らすために、公式アプリストアにこだわることを選択するユーザもいるかもしれないが、これらのストア以外からアプリをインストールすることにしたユーザは、信頼できないソースからのアプリのインストールをブロックし、オープンウェブや信頼できないアプリストアからのアプリを避けることによって、リスクを減らすために、デバイスの衛生状態をよく保たねばならない。

悪意のあるアプリがもたらすリスクは常に存在するが、政策立案者とユーザは、競争が激化するアプリストア空間がユーザの個人データへの脅威を最小限に抑えることを保証するために、より多くのことを行うことができる。上記のような基本的なセキュリティ基準を既存の提案に追加することで、アプリストアの新たな選択肢がもたらすセキュリティリスクを最小化することができる。

編集部注:執筆者のMichael Chertoff(マイケル・チェルトフ)氏は元国土安全保障長官で、「Exploding Data:Reclaiming Our Cyber Security in the Digital Age」の著者。現在はテクノロジー分野を顧客とするセキュリティおよびリスク管理会社Chertoff Group(チェルトフ・グループ)の会長。

画像クレジット:Jorg Greuel / Getty Images

原文へ

(文:Michael Chertoff、翻訳:Yuta Kaminishi)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。