App Storeは2020年、不正の疑いのある15億ドル以上の取引を阻止

App Storeは2020年、不正の疑いのある15億ドル以上の取引を阻止

Appleは、不正行為に関わるデベロッパやユーザーを特定し適切なアクションを取ることにより、 App Storeをユーザーが安心してAppを見つけるための安全かつ信頼できる場所として維持することに尽力しています。

不正行為のリスクはiPhone向けのApp Storeのスタート時から存在していました。以降、App Storeの成長と共に不正行為の規模も拡大し、その手口もさらに巧妙なものになっています。これに伴い、Appleでは不正行為に対する取り組みを拡大・強化し、ユーザーやデベロッパにとってのリスクを撲滅するため、継続的に厳しい措置を講じています。

位置情報や支払情報の詳細などの機密性の高い個人情報が、こうした不正行為者に利用されることを確実に防ぐため、App Storeの舞台裏では多くのリソースが投じられています。詐欺等の不正行為や悪意ある行為をすべて事前に検出することは不可能ですが、Appleの業界屈指の不正防止の取り組みの結果、 最も安全にAppを見つけてダウンロードできる場所はApp Storeであるという点について、セキュリティ分野のエキスパートも同意しています。*

Appleの洗練されたテクノロジーと人的なノウハウの組み合わせにより、2020年だけで金額にして15億ドルを超える、不正が疑われるトランザクションからApp Storeの利用者を守ることができました。これは、資金、情報、時間に対する窃盗行為を未然に防ぐと共に、リスクが高く、脆弱な要素を含む約100万本の新規Appが配信されることを防いだ結果です。

App Review

App Reviewチームは、すべてのAppとそのアップデートが、プライバシー、セキュリティ、スパムに関するApp Storeの厳格なガイドラインに遵守しているか注意深く審査しています。このガイドラインは、新たな脅威や課題が登場する度に、それに対応すべく時間をかけて変更されてきたもので、ユーザーを守りながらApp Storeで最高の体験を提供することを目的にしています。

Appleのゴールは常にApp Storeに新しいAppを提供することです。2020年、App Reviewチームは18万組以上の新規デベロッパによるAppの公開をサポートしました。Appの申請から承認までには数回のトライが必要になることもあります。その多くは申請時点でAppが不完全な状態だったり適切に動作しないことが原因ですが、ユーザーが生成したコンテンツの取り扱いに十分な仕組みが実装されていない場合もあります。2020年に申請された新規Appのうち約100万本に問題があり、さらに既存Appのアップデート約100万本も、上記のような理由からApp Storeへの登録が却下または削除されています。

却下されたAppには、数は少ないものの重大なものとして、ユーザーに著しい悪影響を与える恐れがある、またはユーザーの利用体験を著しく損なう可能性があるものがあります。App Reviewチームは、隠された機能や文書化されていない機能を有しているという理由で、2020年だけで48,000本以上のAppを却下しました。さらに15万本以上のAppは、スパム、コピーキャット、あるいは誤解を招く(ユーザーを巧みに誘導して何かを購入させるなど)といった理由で却下されています。

デベロッパの中には「おとり」操作を企てる者もいます。その手口は基本的に、App Storeのガイドラインをかわすために、Appの審査後にその動作方法を変更して、禁止されているアクション、さらには犯罪行為を実行するというものです。こうしたAppが見つかった場合、直ちに却下もしくはApp Storeから削除されると共に、そのデベロッパには14日間の不服申し立てプロセスが通知され、その後デベロッパアカウントは永久に停止されます。2020年には、約95,000本のAppが不正行為による違反を理由にApp Storeから削除されましたが、そのほとんどでこういった「おとり」操作が使われていました。

例えば、Appleは過去数か月の間にも、初回審査後に機能を切り替えた悪質なAppを却下・削除しています。これらには、現実のお金を使ったギャンブリング、略奪的貸付を目的とした融資、ポルノ閲覧専用などの機能に切り替わったAppがなどがあります。さらには、ゲーム内の信号を使って違法薬物の購入を誘うもの、ビデオチャットを通じて違法コンテンツやポルノを放映するユーザーに報酬を与えるものなどもあります。

Appが却下される理由としてよくあるのが、必要以上にユーザーデータを求める、あるいは収集したユーザーデータの取り扱いが適切でないという場合です。2020年、App Reviewチームは上記のようなプライバシーに関する違反を理由に、215,000本余りのAppを却下しました。Appleはプライバシーを基本的人権の1つと考え、これを公約することが、 App Store がユーザーから選ばれる大きな理由の1つになっていると信じています。

以上のような厳しい審査による防御線を張っていても、180万本のAppを公開するApp Storeでは、問題は依然として表面化します。問題のあるAppについては、App Storeの問題を報告する機能を使って報告したり、Appleサポートに連絡することもできます。デベロッパであれば、上記の手法に加えてフィードバックアシスタントApple Developer Support を通じて報告することも可能です。

不正な評価とレビュー

App Store がAppごとに用意している「評価とレビュー」は、そのAppをダウンロードするか否か決める上で多くのユーザーに役立ちます。また、デベロッパはここを参照することで、ユーザーのフィードバックに応じて新機能を実装すべきか否か検討することができます。Appleでは、機械学習、人工知能、およびエキスパートチームによる人力評価を組み合わせた洗練されたシステムで評価とレビューをモデレートすることで、正確性を確立し、信頼を維持しています。2020年以降、Appleは10億件以上の評価と、1億件以上のレビューを処理し、2億5000万件以上の評価とレビューについて、基準を満たさないとして削除しました。

Appleはまた、評価とレビューを行っているアカウントが真正であることを検証するための新ツールを導入し、投稿されたレビューについて不正行為の兆候がないか分析したり、非アクティブなアカウントから投稿されたコンテンツが確実に削除されるようにしています。

不正アカウント

残念なことに、デベロッパアカウントが不正行為のみを目的に作成されることがあります。デベロッパの違反行為が重大である、もしくは繰り返し行われるような場合、当該の違反者はApple Developer Programから追放され、そのアカウントは停止されます。2020年、Appleは47万人分のデベロッパアカウントを停止し、さらに20万5000件のデベロッパ登録申請を、不正の疑いありとして却下し、以降、当該者によるApp StoreへのApp提出が一切できないようにしました。

不正行為者は高度なテクニックを駆使して自分の行動を目立たなくしますが、Appleの精力的な監視作業により、彼らのアカウントは作成後、平均して、1か月未満で停止されています。

Appをダウンロードするユーザーの安全を確実に守るためのAppleの取り組みは、App Store外でも拡大しています。過去12か月以上にわたり、Appleは海賊版アプリストアで配信されていた違法App約11万本を摘発してブロックしました。これらのサイトでは、人気Appそっくりにデザインされた悪意のあるソフトウェアや、オリジナルのデベロッパの承認を得ずに人気Appを改変したソフトウェアを、App Storeのセキュリティ措置を回避しながら配信しています。

さらに先月には、Apple Developer Enterprise Programを悪用して違法に配信された320万本以上のAppをブロックしました。同プログラムは、企業その他の大規模な組織が、一般には配信されていない内部限定の独自Appを開発して、従業員に向けて配信する仕組みを提供するものです。悪質な不正行為者は、この仕組みを利用することでApp Reviewの厳しい審査プロセスの回避を試み、あるいは、合法的な企業を絡ませ、そのインサイダーを操って必要な認証情報を漏洩させることで、不正コンテンツの配信を試みたのです。

不正なデベロッパアカウントに加えて、Appleは不正なユーザーアカウントの特定とその無効化にも取り組んでいます。2020年だけで、Appleは2億4400万ものユーザーアカウントを不正利用・悪用を理由に非アクティブ化しました。さらに、新規作成が試みられたアカウント4億2400万件分については、不正利用や悪用に一貫して見られるパターンに一致していたため、作成を拒否しています。

支払とクレジットカードに関する不正行為

財務に関わる情報や金銭を伴うトランザクションは、ユーザーがオンラインでやり取りする中で最も機密な情報のひとつでしょう。Appleでは、Apple PayやStoreKitのような安全な支払い処理技術の構築と強化に多くのリソースを投じてきましたが、これらは今や90万本以上のAppを通じてApp Store上でグッズやサービスを販売するのに利用されています。例えば、Apple Payではクレジットカード番号が販売者に知らされることは一切ありません。これにより、支払プロセスにおけるリスク要因を排除できます。

オンラインデータの漏洩が日常的になる中、データの保護はユーザーの安全を守る上で不可欠です。ユーザーは自分のクレジットカード情報がどこからか漏れたり盗まれたりした時に、不正行為者がApp Storeのようなオンライン市場で資金洗浄など違法な目的に利用されうるデジタルグッズやサービスの購入を試みようとしていることには気がつきません。

Appleはこの種の詐欺行為に対して徹底的に向き合っています。洗練されたテクノロジーと人力による評価をうまく組み合わせることで、2020年だけで、盗まれたクレジットカード300万枚以上が盗品やサービスの購入に使用されるのを阻止し、それに関与した約100万のアカウントが二度と取引できないようにする措置を講じました。 合計すると、Appleは2020年、不正行為が疑われる15億ドル以上のトランザクションからユーザーを守ったのです。

App Reviewから不正アカウントの検出、金融犯罪の防止に至るまで、Appleは24時間絶え間なく働き、App Storeがユーザーとデベロッパのどちらにとっても安全で信頼できる場所であり続けられるよう、舞台裏でも常に努力を重ねています。

* nokia.com/networks/portfolio/cyber-security/threat-intelligence-report-2020(英語); media.defense.gov(英語)