マイキー・キャンベル
· 2分で読めます
水曜日の報道は、Appleのエンタープライズ証明書プログラムをめぐる論争をさらに激化させ、このツールが人気アプリのハッキング版を配布するために使用され、厳格なApp Storeガイドラインを事実上回避していると伝えた。
ロイターが詳しく報じているように、TutuApp、Panda Helper、AppValley、TweakBox などのアプリ配布業者は、開発者証明書を悪用して、合法アプリの改変版、つまり違法版を配布し、利益を得ています。
報告書によると、アプリによっては、ユーザーは定額料金を支払うことなく音楽をストリーミングしたり、広告をブロックしたり、アプリ内課金を回避したりできる。こうした行為はアプリ開発者の収益を奪うだけでなく、AppleがApp Storeでの全売上から15~30%の手数料を徴収するため、Appleの収益にも悪影響を及ぼしている。
いわゆるハッキングアプリの例としては、App Storeで6.99ドルで販売されているTutuAppのMinecraftや、広告なしでSpotifyの無料プランを聴けるAppValleyのバージョンなどが挙げられます。流通している改変されたアプリの数は不明であり、Appleはリアルタイムで拡散状況を追跡できていません。
Facebook や Google のデータ収集アプリをめぐる最近の騒動と同様に、Apple のエンタープライズ証明書プログラムが問題の核心となっている。
デベロッパー・エンタープライズ・プログラムは、企業がApp Storeの厳格な監視を経ることなく、従業員にソフトウェアを配布するための簡便な手段を提供するために設計されました。デベロッパー証明書は、実用的なベータ版、社内人事管理アプリ、その他一般公開を目的としないソフトウェアの発行によく使用されます。
TutuApp や AppValley などの配布業者は、開発者証明書を利用して改変したアプリバージョンを iOS ユーザーに提供することで、Apple の利用規約に違反しています。
ロイター通信は先週、この問題についてAppleに連絡を取りました。同社はその後、報道で言及されていた複数のアプリについて、配信に使用されていた開発者証明書を削除し、配信を停止しました。しかし、数日後には同じアプリが新たに取得した証明書で再びダウンロード可能になりました。違法配信者がどのようにして開発者証明書を入手したかは不明ですが、一部の配信者は中国移動(チャイナモバイル)の匿名の子会社を装っていたことが判明しています。
エンタープライズ開発者プログラムは、TechCrunchによる一連の調査でFacebookとGoogleの両社がデータ収集活動に証明書を利用していたことが明らかになったため、ここ1ヶ月間、激しい議論を巻き起こしてきました。どちらのケースでも、エンタープライズ権限が悪用され、ボランティアのiPhoneにユーザー監視VPNアプリがサイドロードされていました。参加したユーザーには、金銭やギフトカードなどの報酬が支払われていました。
Appleは、この報告書が公開された翌日にFacebookの証明書を失効させ、その後Googleの証明書も失効させた。どちらの場合も権限は回復された。
最近では、火曜日の報道で、App Storeの審査を回避するためにエンタープライズ証明書を利用した複数のポルノアプリやギャンブルアプリが詳細に報告されました。当時、Appleは状況を監視しており、必要に応じて措置を講じると述べました。水曜日にはロイター通信に対しても同様の声明を発表しました。
弊社のエンタープライズ証明書を悪用する開発者は、Apple Developer Enterprise Program契約に違反しており、証明書は失効します。また、状況によっては、弊社の開発者プログラムから完全に削除される可能性があります。弊社は不正使用の事例を継続的に評価しており、速やかに措置を講じる準備ができています。
