Appleのエンタープライズ証明書プログラムを悪用したiOSアプリケーションへの規制が強まっています。ロイター通信(Reuters)によると、とあるソフトウェアベンダーはこのプログラムを利用(悪用)して、広告なしバージョンのSpotifyなど、誰もが知っていて人気があるアプリの修正バージョンを公開するなどしているからです。
レポートによると、TutuApp、Panda Helper、AppValley、TweakBoxなどの違法で悪質なソフトウェアベンダーが、修正済みアプリケーションを配布するためにエンタープライズ証明書プログラムを使用しています。
たとえば、AppValleyは、広告が含まれていないバージョンのSpotifyを提供しています。TutuAppは無料版のMinecraftを配布していますが、これは本来はApp Storeで6.99ドルで販売されています。他にもポケモンGOやAngry Birdなどの無料版が配布されたりしています。これらは全て、アプリ内での課金なども無料で行えてしまいます。上記はほぼ誰にでも知られているアプリですね。
これらの悪質なディストリビュータ(配信業者)は、自らのサービスの「VIP」バージョンと呼ぶものへのサブスクリプションのために年間13ドル以上を請求することによってお金を稼ぎます。彼らは、それら有料版が無料版より安定していると言って、アップグレードを誘うのです。このようなサブスクリプションを購入したユーザーの数を知ることは不可能ですが、海賊版配信業者を合わせたTwitterのフォロワー数は60万人を超えています。
上記の数字が正しければ、少なくとも980万ドル(約10億8800万円)ものお金が海賊版業者に流れ込み、正規のソフトウェアメーカーは恐らくそれ以上の損失を出していることになります。
そしてロイター通信は先週頭に、Appleにコメントを求めました。その後間もなく、多くの海賊版アプリケーションが削除されました。しかし数日後、海賊版は異なる企業証明書を通じて再び現れたのです。
Appleは声明の中で、企業証明書の悪用について継続的に調査していると述べています。
Appleの広報担当者はロイター通信に対し、「企業証明書を悪用した開発者は、Apple Developer Enterprise Program契約に違反しており、証明書は破棄されます。もし更に悪質な場合は、完全に開発者プログラムから削除されます。」「私たちは誤用の事例を継続的に評価しており、直ちに行動を起こす用意ができています。」
これらの海賊版配信業者と思われるいくつかの企業にロイター通信はコメントを求めていますが、総じて口をつぐんでいるそうです。まあ、それは当たり前ですね。。
大手アプリメーカーのSpotify Technology SA、Rovio Entertainment Oyj、Niantic Incは、海賊版に対して反撃を始めています。
Spotifyは修正されたアプリの問題についてはコメントを控えましたが、同社は今月初めに「広告をブロックするように設計されたツールを作成または配布するユーザ」を取り締まると述べています。
ゲームのAngry BirdsのメーカーRovioは、「私たちのプレーヤーコミュニティとRovioの両方としてのビジネスのために」侵害に対処するためにパートナーと積極的に協力していると述べました。
Pokemon GoのメーカーNianticは、ゲーム内で不正行為を可能にする海賊版アプリケーションを使用するプレイヤーは、利用規約に違反することしているため、アクセスを禁止するとしています。なお、あのMinecraftをリリースしているMicrosoft Corpはコメントを控えています。
ただ、上記の正規ソフトウェアメーカーの動きが功を奏しているかというと難しいかもしれません。対策にはApple側の動きの方が重要になってくるでしょう。
なお、フェイスブック(Facebook)は最初に、エンタープライズリサーチプログラムを使ってフェイスブックリサーチ用VPNを配布していることが発見されました。またグーグル(Google)もその後同じようなことをしていることがわかっています。グーグルは社内アプリについても、企業証明書を利用して配布していたことも判明しています。
他にも昨日、TechCrunchによる調査で、このエンタープライズ認証プログラムを通して配布されているポルノやギャンブルといったAppleの規定に違反するアプリが、Appleの審査をスルーしていることが明らかになりました。
当ブログでも、AppleのFacebookとGooleに対するエンタープライズ認証プログラムのシャットダウンに関するニュースをお知らせしています。
TechCrunchのJosh Constine氏は本日、Appleが彼の調査で言及された不正なアプリケーションのほとんどを削除したことを認めています。殆どが中国のアプリなのがまあ、、さすが金儲けのためなら何でもするんだなあという感じですね。
ただし現時点では、開発者が別の開発者アカウントを介してエンタープライズ証明書を使用し、同じアプリを提供されてしまうと、それが止められることはないようです。まるでいたちごっこ、モグラ叩きの様相を呈しています。
そしてAppleは先ほど、すべての開発者アカウントに2要素認証の使用を要求することを発表しました。この要求が上記の企業証明書プログラムの悪用に帯する取り締まりに役立つ可能性があると示唆している人もいますが、それは時間が経たないとわからないでしょう。企業証明書は、Appleと取引のある相手に対して発行される認証で、Appleにとっては取引先のお客様です。企業が規約に違反したとして認証を無効化するのは簡単ですが、それがその企業が意図して行ったものとは限らず、全くの第三者に悪用されている可能性もあるため、認証停止によって相手企業に思わぬ大損害をもたらしてしまうと、Appleも訴訟されてしまったり相手企業との取引が終了してしまう可能性があります。そのためAppleも企業に対しては対応を慎重にせざるを得ないと思われます。ということで、Appleの矛先はデベロッパに向かったのでしょうね。
しかしAppleのiOSやソフトウェアは色々がんじがらめですよね。それによって安全を保っているのはいいことかもしれないですが、正直ちょっと息がしづらい感じがします(ただし、上記のように抜け道はあります)。Androidはその点自由で、セキュリティに関しては自己責任という感じになっています。どちらがいいかは、好みでしょうね。
記事は以上です。
(記事情報元:Reuters & TechCrunch via 9to5Mac)