EUデジタルマーケットプレイス法の潜在的なセキュリティへの影響

欧州でデジタル市場法（DMA）が制定される以前、Appleの「ウォールド・ガーデン・モデル」App Storeは、他のアプリストアと同様にセキュリティ上の脆弱性を抱えていました。しかし、「サイドローディング」の禁止は、Google Playのようなより寛容なマーケットプレイスと比較して、明らかにセキュリティを強化していました。しかし、最近施行された欧州連合（EU）のデジタル市場法の下では、Appleのようないわゆる「ゲートキーパー」企業に対しては、こうした禁止措置が維持される可能性は低く、モバイルアプリケーション・エコシステム全体のセキュリティが低下すると考えられます。

デジタル市場法は2022年11月1日に正式に施行され、その規定の大部分は2023年5月に適用されました。しかし、2023年9月6日、欧州委員会はAppleとGoogleの親会社であるAlphabetを含む6つの「ゲートキーパー」企業を指定しました。各ゲートキーパーは、指定から6か月以内にいくつかのコンプライアンスマイルストーンを満たす必要があると規定しました。したがって、2024年3月6日以降、AppleはApp Storeユーザーがモバイルアプリケーションやその他の製品やサービスをエンドユーザーに直接、またはサードパーティのサービスを通じて提供することを阻止できなくなります。DMAは、デジタル「セキュリティ」と自由の間の数十年にわたる緊張の最新の兆候です。厳格なアプリストア管理の代名詞であるAppleにとって、DMAは特定の種類のセキュリティを提供する上で打撃となります。消費者にとって、DMAは良い面と悪い面があります。選択の自由は増えますが、潜在的なリスクも増えます。この投稿では、エンドユーザー向けのアプリを構築する企業の観点から、DMA がアプリ ストアの競争と消費者の選択に与える影響について詳しく説明し、DMA が義務付ける新しいアプリ ストア エコシステムでアプリケーションのセキュリティを確保したいと考えている企業にアドバイスを提供します。

DMA以前の状況

DMAの登場以前、モバイルアプリケーションマーケットプレイスのセキュリティ環境は歴史的に二分されており、iOSデバイス向けのApp StoreはAndroid向けよりも優れたセキュリティ対策を誇っていました。2023年版脅威レポートによると、Androidアプリは不正な攻撃にさらされる可能性が高かったとのことです。safe ルート化された端末やエミュレータ上で実行されている端末など、様々な環境で実行されている。具体的には、Androidアプリの76%がsafe Androidアプリは、iPhoneアプリの51%と比較して、改変されたコードで実行される可能性が4倍以上高いことが分かりました。

この差異は、Android がサードパーティ ライセンシーに利用可能であること、サードパーティ メーカーが急増していること、無料のフル機能のエミュレータが利用可能であること、アプリのサイドローディングが容易であることなど、さまざまな要因から生じている可能性があります。これらは、Apple の管理されたハードウェア エコシステム、そして最も重要な閉鎖的なデジタル アプリ マーケットプレイスとは対照的です。

変化の触媒

欧州連合（EU）がDMAを導入した動機は、セキュリティ上の懸念とは直接関係がなく、テクノロジー企業が築き上げた障壁を打ち破り、アプリ市場における競争を促進することにあると見られています。AppleとEpic Games、Spotifyといった企業の間で、アプリストアのポリシーと手数料をめぐる紛争が勃発し、規制介入の必要性が浮き彫りになりました。Appleは確かにより安全なエコシステムを提供していたと言える一方で、実質的にはアプリ所有者に対し、アプリ内購入を含む収益に対する手数料の支払いを強制しており、その額は購入商品価格の30%にも達することがあります。したがって、DMAは消費者の選択肢と市場競争の拡大を促すだけでなく、Appleのような企業が収益性の高い収益源を活用することを制限しているのです。

裏側：セキュリティ上の懸念

しかし、DMA（モバイルバンキング・サービス・マネジメント）が義務付けているデジタルマーケットプレイスの開放には、セキュリティ上の落とし穴がないわけではなく、トロイの木馬アプリ、いわゆる「トロイの木馬」（他のアプリを攻撃するマルウェアを内包するアプリ）や、「本物」を装ったクローンアプリのマーケットプレイスが意図せずして出現する危険性があります。例えば、バンキング型トロイの木馬「anatsa」は、様々なAndroidアプリマーケットプレイスで繰り返し出現し、世界中で600以上のモバイルバンキングアプリへの攻撃に関与していることが知られています。この現象はこれまでAndroidデバイスへの攻撃に限られていましたが、将来的には、規制の緩いiPhone向けアプリエコシステムにも蔓延する可能性があります。

Appleの対応と新たなセキュリティメカニズム

AppleによるDMAへの反論は、ユーザーセキュリティに対する同社の懸念を浮き彫りにし、マーケットプレイスの民主化には慎重なアプローチが必要だと主張している。Appleは、iOSアプリの認証、マーケットプレイス開発者への認証義務化、代替決済に関する透明性のある情報開示など、一連の新たなセキュリティ機能を導入している。しかしながら、これらの対策はせいぜい、サードパーティ製アプリストアがもたらすリスクを部分的に軽減するに過ぎず、同時に、Appleがアプリエコシステムへの支配力が弱まるにつれて確実に被るであろう金銭的損失の一部を回収することを保証するに過ぎない。

顧客向けアプリを開発する企業への影響

DMAは、アプリを開発する企業にとって新たなリスク、特にトロイの木馬やアプリのクローン作成のリスク増大をもたらす可能性があります。これに対処するため、企業はより強固なアプリケーションベースのセキュリティ戦略を採用し、具体的にはセキュリティ対策を統合する必要があります。 アプリの強化–ソフトウェア開発ライフサイクルに組み込みます。

アプリの強化には、アプリケーションが不正に実行されているかどうかを検出する手段の提供が含まれます。safe 環境だけでなく、 脅威アクター アプリケーションの改変や再公開を防止します。また、署名検証やコード整合性チェックといった保護機能も備えており、サードパーティのアプリストアで偶然見つけたエンドユーザーを狙った改変されたアプリケーションを阻止できます。さらに、企業はアプリに監視機能を統合することで、導入後のアプリへの脅威を監視することができます。最後に、 ランタイムアプリケーション自己保護 (RASP) メカニズムは、非公式に操作されたときにアプリが脅威を自律的に中和できるようにする。safe 環境やコードを変更することで、ますます複雑化する市場環境でもアプリの整合性を維持します。

まとめ

DMAは、消費者エンドユーザーの利益のために「ウォールドガーデン」エコシステムを開放しようと試みています。こうした取り組みにはリスクが伴い、それらのリスクはデジタル時代における自由とセキュリティの微妙なバランスを体現しています。この法律がアプリストアとより広範なデジタル市場の未来を再構築するにつれ、iPhone向けアプリを開発する企業は、自社アプリのセキュリティに対してより大きな責任を負う必要が出てきます。Appleの迅速なセキュリティ対策は、ユーザーのプライバシーを維持するための枠組みを提供していますが、 safe企業は、この新しい時代をうまく乗り切るために、包括的な保護戦略を採用する必要があります。この変化は、根本的に組織がセキュリティに関してよりシフトレフトな戦略を採用することを必要とします。包括的なアプリケーションハードニング（マルウェア対策を含む）を行わずに、この新しい環境でiOSアプリケーションを配布することは、 リバースエンジニアリング、は、これまで以上に危険になるでしょう。