JSSEC セキュリティコラム
25年10月号「『スマホ新法』の落とし穴、セキュリティリスク」
~ アプリ提供者に求められる対策について ~
JSSEC副会長・理事
KDDI株式会社 本間 輝彰
私たちが日常的に使用するスマートフォン、その便利さの裏には思わぬ落とし穴が潜んでいます。それが、スマートフォン利用者をターゲットにしたサイバー犯罪です。本コラムでは、利用者自身を含め身近なスマートフォンユーザーに起こりうるサイバー攻撃の実態を掘り下げ、その手口と対策について解説していきます。
第5回(25年8月号)のコラムでは、「解説・スマートフォンアプリケーション開発者の実施規範」というタイトルで、JSSEC技術部会が発行した2024年3月に発行した「スマートフォンアプリケーション開発者の実施規範」※1をもとにスマホアプリの開発時に実施すべきことの解説を行いました。
今回は、アプリ開発・提供する上で、特に注意すべきことの解説を行います。なお、本コラムは、東洋経済オンラインで公開された、「スマホアプリの安全性に注意!攻撃者が悪用する例も…スマホ新法で変わるアプリ配信、開発者が見直したいセキュリティ対策とは【具体例あり】」※2、「12月施行の「スマホ新法」意外な落とし穴、セキュリティリスクは外部ストア解禁による危険アプリ問題だけじゃない!押さえておくべき対策を解説」※3を参考に作成していますので、合わせてこちらの記事も参考にしてください。
※1 https://www.jssec.org/dl/smartphone-app-developers-guide.pdf
※2 https://toyokeizai.net/articles/-/902114
※3 https://toyokeizai.net/articles/-/910381
スマートフォン新法によるOS制約緩和とアプリ環境の変革
今年12月から、スマホ業界を大きく変える新しい法律「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律(略称:スマートフォンソフトウェア競争促進法(SSCPA)」(以下、スマホ新法)が施行されます。
スマホ新法の施行により、アプリ提供者は公式ストア以外の代替アプリマーケットの開放など、下記がOSベンダーの制約から外れる開放されることとなります。
●アプリマーケットの代替ルートの開放
⇒ プリインストールされたアプリストア以外のアプリインストール経路の利用が可能になり、サードパーティのアプリストアのインストールや利用が容易になる。
⇒ OSの設定や仕様に関わる制限の撤廃により、ユーザーや開発者が自由にアプリ配信ルートを選択できる。
●アプリ内課金の外部決済の選択肢の拡大
⇒ アプリ内課金をGoogle PlayやApple App Storeの決済システムに限定しない選択肢が提供可能になる。
⇒ サードパーティの決済サービスや外部決済ルートを利用できるようになることで、アプリ開発者やユーザーの選択肢が増える。
●バックグラウンドアプリの管理
⇒ OSやプリインストールアプリのバックグラウンド動作の制限が緩和され、ユーザーやサードパーティがバックグラウンドでの動作を管理・制御できるようになる。
●デフォルトアプリの変更
⇒ ブラウザやメールアプリなどのデフォルトアプリをOSの設定画面から変更可能になる。
●OSのウィジェットやホーム画面のカスタマイズ
⇒ プリインストールされたウィジェットやホーム画面の制限が緩和され、ユーザーが自分の好みに合わせてカスタマイズできるようになる。
●アプリの権限制御の透明性向上
⇒ アプリがアクセスできる情報やデバイス機能の詳細な情報提供により、ユーザーがより良く理解し、権限を管理できる仕組みが導入される。
スマホ新法施行後の課題について
スマホ新法施行により、前述の通り、アプリ提供者の自由度が増す一方、新たな課題も出てきます。ここでは、新たに発生する課題とアプリ提供者が実施すべき課題について解説します。
1. アプリマーケットの代替ルートのポリシー差異について
App StoreやGoogle Playは、長年の運用経験を踏まえ、利用者の利益を守るために厳格なデベロッパーポリシーを制定し、これらのポリシーの遵守を求めています。また、アプリの掲載にあたっては厳しい審査を実施しています。一方、代替ルートに関しては、このようなポリシーや審査体制が十分に整っていない場合も存在しています。
例えば、公式マーケットでは、アプリが収集するデータに関するプライバシーポリシーの作成が義務付けられており、アプリのダウンロード前に収集データの内容を確認できる仕組みになっています。しかし、すでに存在している代替ルートでは、このようなルールが適用されていない場合もあります。
スマートフォンアプリから送信されるデータの透明性については、総務省が発行する「スマートフォンプライバシーセキュリティイニシアティブ(SPSI)」でも推奨されており、アプリ提供者は代替ルートにおいても、公式マーケットと同様に情報を提示することが望ましいとされています。
2. アプリ内課金の外部決済における選択肢拡大の注意点
従来、公式マーケットでアプリを提供する際には、一部例外を除き、アプリ内課金はマーケット内の決済システムを利用する必要がありました。しかし、今後は事業者が自由に決済手段を選択できるようになり、公式マーケットで発生する手数料を回避したり、より柔軟な課金システムを導入したりすることが可能となります。
一方で、独自に決済システムを導入する場合には、クレジットカードの会員情報保護を目的とした国際的なセキュリティ基準「PCI DSS」への準拠や、3Dセキュア、暗号化処理などの高度なセキュリティ対策が求められます。これらの対応が不十分な場合、脆弱性が生じる可能性があります。
特に、スマートフォンアプリはサーバー側のシステムと異なり、攻撃者がリバースエンジニアリングを比較的容易に行えるため、脆弱性が見つかりやすいというリスクがあります。その結果、脆弱性を悪用した不正コードの混入やマルウェアのリスクも高まります。
また、万が一脆弱性が発見され、不正利用や情報漏洩が発生した場合には、その対応も必要となるため、事前に適切な体制を整える必要があります。
したがって、外部決済を選択する際には、これらのリスクを十分に考慮した上で、適切な方法を選択することが推奨されます。
3. バックグラウンドアプリの管理
従来、公式マーケットで提供されるアプリにおいては、バックグラウンド処理を行うには、その必要性を明示し、マーケットの承認を得る必要がありました。そのため、不必要なバックグラウンド処理を行うアプリを排除することが可能でした。
しかし、規制の緩和とともに、審査の甘い代替ルートで提供されるアプリも流通する可能性が出てきました。その結果、これまで許可されていなかったバックグラウンド処理を行うアプリが増加するリスクがあります。
そのため、アプリ提供者は、バックグラウンド処理を行う必要がある場合には、その理由や必要性をユーザーに対してわかりやすく説明し、適切な情報提供を行うことが求められます。
また、バックグラウンド処理の悪用により、位置情報の不正追跡や行動履歴の不正取得、プライバシー侵害のリスクが高まるほか、キーボード入力や画面上の情報をキャプチャし不正に収集・送信することによる個人情報やクレジットカード情報の漏洩といったさまざまなリスクも想定されます。
これらのリスクを防ぐためにも、アプリ提供者は、アプリの健全性を証明し、利用者に安心して使用してもらうために、適切な情報提示や説明を行うことが推奨されます。
4. デフォルトブラウザの変更について
これまで、iOSではSafari、AndroidではChromeが標準ブラウザとして設定されていましたが、今後は任意のブラウザをデフォルトに設定できるようになります。
また、多くのWebサービスは主要ブラウザでの動作を前提に開発されており、アプリからWebブラウザに遷移する際も、主要ブラウザでの動作を想定した作りになっています。そのため、デフォルトブラウザを変更することにより、認証エラーや表示の不具合など、期待通りの動作が行われなくなる可能性があります。
これを踏まえ、アプリ側では利用するブラウザに対して制限を設けたり、推奨ブラウザを提示したりする対応が推奨されます。
なお、ユーザー側も、SafariやChromeは膨大な開発予算により、フィッシングサイトの検出や有害サイトのブロック、セキュリティパッチの自動配信などのセキュリティ機能が充実していることを理解し、信頼性の高いブラウザを選択することが求められます。
5. アプリの権限制御の透明性向上の課題について
従来、公式マーケットでは、アプリの仕様上不要な権限を要求するアプリの掲載は認められていませんでした。しかし、代替ルートでアプリを提供する場合、不必要な権限を要求するアプリが流通するリスクがあります。OSの仕様上、敏感な情報を扱う際には利用者の許諾が必要ですが、多くの利用者は、権限の詳細を十分に確認せずに承諾してしまうことが推測されます。
そのため、スマートフォンアプリを提供する際には、「最小権限の原則」を徹底し、必要な権限だけを付与することが求められます。また、その権限が必要な理由についても、ユーザーに対して明確に説明することが推奨されます。
まとめ
スマホ新法の施行により、アプリ提供者は新たな提供手段を得ることで、マーケットのさらなる発展が期待されます。しかし、その一方で、これまで公式マーケットによって守られてきた厳格な安全・品質環境とは異なる環境が生まれる可能性もあります。特に、サイバー犯罪者にとっては、このような環境の変化を見過ごすことは考えにくいと推測されます。
そのため、アプリ提供者は、自社が提供するアプリの健全性や安全性について、利用者に対してしっかりと説明することが求められます。アプリの健全性を高める努力を続けることで、利用者の信頼が向上し、その結果としてアプリの価値も高まると考えられます。
さらに、アプリ提供者は、より厳格なルールや条件を設けてアプリを提供し、安全性や品質を確保する姿勢が重要です。