アプリの違法配布ソフト、アップルの開発者証明書を悪用

［サンフランシスコ １３日 ロイター］ - 米アップル(AAPL.O)が開発した技術が乗っ取られ、スポティファイやポケモンＧＯなどｉＰｈｏｎｅ（アイフォーン）向け人気アプリの改変版が配布されていたことが、ロイターの調べで分かった。

アプリを違法にダウンロードできるTutuApp、Panda Helper、AppValley、TweakBoxなどのソフトウエアは、アップルが厳しく管理しているアプリ販売サイト「ＡｐｐＳｔｏｒｅ（アップストア）」を経由せずに企業が従業員に業務用アプリを配布するようアップルが導入したプログラムにアクセスするためにデジタル認証を利用する方法を探り出した。

「企業向け開発者証明書」と呼ばれる機能を使って人気アプリの改変版を消費者に配布することで、広告の表示されないストリーミングアプリで音楽を聞いたり、ゲームの料金支払いや規則を回避することが可能となり、アップルや合法なアプリ開発会社に売り上げが入らなくなっていた。

TutuAppなどからのコメントは得られていない。

アップルが証明書の発行や不適切に改変されたアプリの拡散をリアルタイムで追跡する方法はないが、悪用が見つかれば、証明書を取り消すことができる。

同社の広報担当者は、ロイターに対し「当社の証明書を悪用する開発者は、当社のApple Developer Enterprise Program（ＡＤＥＰ）契約に違反しており、証明書は破棄される。適切な場合には、開発プログラムから完全に排除される」と説明。今後も悪用問題を精査していくと述べた。

ロイターが前週に初めてこの問題に関連してアップルに取材した際、違法アプリの一部はシステム利用を禁じられたが、その後数日以内に別の証明書を利用して運営を再開した。

ソフトウエア会社シェイプセキュリティーのセキュリティー責任者、Amine Hambaba氏は「こういった企業が別のチームや別の開発アカウントを使って同じことを繰り返すのは止めようがない」との見方を示した。

アップルは、開発者アカウントへログインする際の二段階認証を月末までに義務付けることで証明書の悪用を防ぐとの一部報道を認めた。

スポティファイ(SPOT.N)はコメントを控えた。ポケモンＧＯを開発した米ナイアンティックは、チート（不正行為）が可能な改変アプリを使用するプレーヤーのアカウントは定期的に停止していると説明した。