ユーザー自身がアプリの安全な利用環境を選べる仕組み
App Storeに公開されているアプリは、すべてアップルが定める「Privacy Nutrition Labels(プライバシーラベル)」と呼ばれるフォーマットに則って、プライバシー保護のポリシーを表記することが義務付けられています。アプリのデベロッパは、アプリがユーザーから収集するデータの種類とそれぞれの個人情報との関係、収集したデータの用途などをここに明示することにより、アプリやサービスが「安全なものであること」をユーザーにアピールできます。
筆者も職業柄、日々多くのiPhoneアプリやゲームなどをダウンロードしますが、入手する前に「Appのプライバシー」の記載にリンクしているデベロッパのプライバシーポリシーや、App Storeから参照できる「ユーザのトラッキングに使用されるデータ」「ユーザに関連付けられたデータ」の項目についてはなるべく目を通すようにしています。
iPhoneやiPadなど、アップルのデバイスはユーザーのプライバシーに関わる情報を取得し、取り扱う場合のデータサイズを最小限に止めるように設計されています。またユーザーのプライバシーに関わるデータの解析などはクラウドを介さずセキュアな端末上で処理を完結する仕組みを取り入れ、メッセージアプリのようにクラウドにつなぐサービスの場合はデータに厳重な暗号化処理をかけます。
アップルはiOS 14.5、iPadOS 14.5、tvOS 14.5以降、Macでは同時期にリリースされたバージョン以降のブラウザ「Safari」から、デバイスを利用するユーザーのプライバシー保護機能を強化しています。ユーザーが「アプリによるトラッキングの許可」を自身で判断して、Web上での行動を追跡されたり、デベロッパやサービス事業者がユーザーの個人情報にアクセスしてターゲット広告を表示する行為を未然に防ぐことができるようになりました。
モバイルマルウェアの脅威
アップルのエコシステム上にもサイドローディングの道筋ができてしまうと、ユーザーのプライバシーや端末のセキュリティを保護するためにアップルが整えてきた仕組みも弱体化します。
堅牢なはずだったセキュリティの隙間をすり抜けて、執拗に広告を表示して利益を得ようとする「アドウェア」、ユーザーの端末を“乗っ取り”、不正に得たデータを解放する代わりに“身代金”を要求する「ランサムウェア」や、銀行口座などへのログイン情報をかすめ取る「トロイの木馬」などと呼ばれるモバイルマルウェアが、ユーザーの端末に浸入してくる危険性が高くなるのです。
Google Playストアの外から、apkファイルのインストールによるアプリ導入などサイドローディングの利用を許可しているAndroidのプラットフォームでは、これまでにも悪名高いモバイルマルウェアによる感染被害が報告されてきました。例えば無料のアプリやゲームに隠れて、わずらわしい広告を表示するアドウェア「HiddenAds」や、カナダ保健省が提供した公式の新型コロナウィルス感染症の接触追跡アプリに偽装して、サイドローディングによりユーザーのデバイスに入り込み、不正に暗号化したファイルを「復元してほしければ身代金を払うように」要求してくるランサムウェア「CryCryptor」などがこれにあたります。