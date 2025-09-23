

「スマホソフトウェア競争促進法」（スマホ新法）が2025年12月8日に施行され、公式ストア以外のアプリ配信が許可される。アプリ提供者側としては、提供先が広がることが期待されている。

一方、これまで公式ストアであるGoogle PlayやApp Storeが行っていた監査が、代替マーケットでどの程度実施されるかは不透明であり、不正なアプリが広がることを危惧する声もあるのが事実だ。

安全・安心なアプリを提供するに当たっては、スマホアプリ提供者の責任がより一層重くのしかかるだろう。では、どのような点に注意すべきか、詳しく見ていこう。

公式ストア以外ではルールがバラバラ？

スマホ新法の施行により、アプリ提供者は公式ストア以外の代替アプリマーケットで、Google PlayやApp Storeとは異なる条件でアプリを提供することが求められる可能性がある。これにより、これまで許容されていなかった条件が緩和され、利用者に不利益が生じる可能性も考えられる。



公式ストアでは、ユーザーデータの収集や利用に関する詳細なガイドラインが設定されているが、代替アプリマーケットではその基準が一貫していない場合がある。

このため、アプリ提供者は、ユーザーに対してデータ収集の目的や方法をこれまで以上に明確に説明し、同意を得ることが求められる。

また、代替アプリマーケットでは自動的なセキュリティチェックや審査がない場合もあるため、アプリ提供者自身がセキュリティ対策を強化し、定期的な監査を行うことが重要だ。

プラットフォームごとに異なる権限ポリシーを把握し、必要な権限のみを取得することも求められる。

アプリマーケットの開放により、利用者が不利益を被ることは許されない。したがって、アプリ提供者は責任を持ってアプリを提供し、ユーザーの権利と利益を守らねばならない。

セキュリティテストと脆弱性診断、継続的な監視を

このような背景の中で、アプリ提供者が安全なスマホアプリを提供するにはどうすればよいか。安全なスマホアプリを提供するためには、オンライン上で公開されている、信頼できるモバイルアプリのセキュリティマニュアルを参照することが有効だ。

例えば、以下が挙げられる。

● OWASP（Open Worldwide Application Security Project）MASVS（Mobile Application Security Verification Standard）

ソフトウェアのセキュリティ向上を目的とした非営利団体が提供する、モバイルアプリの安全性チェックリスト。アプリのセキュリティ要件を定義しており、開発者が、「どのようなセキュリティ対策が必要か」を知るためのガイドライン。

● OWASP MASTG（Mobile Application Security Testing Guide）

モバイルアプリのセキュリティテスト方法をまとめたマニュアル。MASVSで定義されたセキュリティ要件が、実際に正しく実装されているかをテストするための手順や手法が詳細に書かれている。「どのようにテストすればよいか」を知るための手引書。

● OWASP Mobile Top10

モバイルアプリケーションにおける最も重大なセキュリティリスクを、OWASPが10項目にまとめたリスト。開発者が「とくに注意すべき脆弱性は何か」を理解し、対策の優先順位をつけるためのガイドライン。

これらを参考にセキュアコーディングを行い、セキュリティテストを実施することで、一般的なセキュリティ脅威を削減することが可能だ。

アプリリリース前には、第三者機関による脆弱性診断を実施し、脆弱性が含まれていないか確認してほしい。

アプリリリース後も、セキュリティインシデントに備えて継続的な監視を行い、不具合の発生やOSのアップデートによる仕様変更に合わせて適切なアップデートを行うことが求められる。また、利用者が安全にアプリを利用できるよう、適切な情報提供も必要だ。

開発者に向けて「注意が必要」な具体的な事例を3つ紹介

スマホアプリは、誰もがアプリマーケットから入手可能であるため、攻撃者がアプリを解析し、脆弱性を見つけ悪用することが可能だ。そのため、より安全なプログラムの実装が求められる。その中でもとくに注意が必要な事例を紹介する。

1. クレデンシャル情報がプログラムに保存されている

クレデンシャル情報のプログラム内保存は、OWASPが発行しているOWASP Mobile Top 10 2024において1位に挙げられており、とくに注意が必要。実際に、多くのアプリでAWSやAzureなどの認証情報がアプリ内に保存されているという報告もある。脆弱性が報告されたアプリには、ラジオアプリやニュースアプリなど多くの人が利用するものが含まれている。

アプリのソースコード内にAPIキーやデータベースのパスワードなどのクレデンシャル情報がハードコードされていると、攻撃者にソースコードを解析され、これらの情報が入手されると、データベースや他のサーバーに不正アクセスが可能となる場合がある。したがって、認証情報はサーバー側で安全に管理し、アプリからは必要最小限の権限でアクセスさせる構成を採用し、キーは定期的にローテーションするなど適切な対応が求められる。

2. 不適切なデータ暗号化

脆弱な暗号化アルゴリズムを使用すると、通信中にデータが傍受され、個人情報や機密情報が第三者に漏洩するリスクがあり、OWASP Mobile Top 10 2024でも5位と10位に挙げられている。

過去のセキュリティ機関の調査結果では、Androidアプリ100本のうち32本があらゆる証明書とホスト名を受け付け、うち4本は機密データを暗号化せずに送信していたという報告がある。同様に、2017年にはiOSアプリがTLS設定の問題により、中間者攻撃を受けるリスクも報告されている。直近の調査でも、分析対象のモバイルアプリの92%に暗号化の問題が指摘されており、上位100本中5本のアプリには高リスクの暗号化の問題が指摘されている。

したがって、スマホアプリでの暗号化はどのアプリでも一般的に利用されているが、適切でない暗号化の使用は依然として多くのリスクを伴うため、開発者は暗号化技術を選択し実装する際に十分な注意が必要だ。

3. 不適切な権限管理

ユーザーまたはアプリ自身が必要以上の権限を持っている場合、不必要な権限が不正利用され、データの改ざんや漏洩が発生する可能性がある。また、アプリの動作に影響を及ぼし、ユーザーが不便を感じることもある。実際に、録音、位置情報、メッセージ読み取りなどの危険な権限を要求するアプリが多数存在することも報告されている。

スマホアプリ開発者は、最小権限の原則を徹底し、権限の必要性を精査したうえで、必要な権限のみ付与し、その理由をユーザーに明確に説明することが重要だ。

利用者の信頼なくして、アプリの利用拡大はありえない

ほかにも、アプリが脆弱性を修正するためのセキュリティパッチを適時に適用しないことや、モバイルアプリにおける認証・認可制御の実装が適切でない場合など、さまざまなアプリの実装上の問題がある。

上記の課題に加え、OWASP Mobile Top 10 2024の他の項目や、OWASPが発行しているMASVSなどを参考に、適切な実装を行うことが推奨される。

日本スマートフォンセキュリティ協会（JSSEC）は、アプリ開発者がどのようなセキュリティ対策を行うべきかをまとめた「スマートフォンアプリケーション開発者の実施規範」を2024年3月に公開している。アプリ開発の際には、この規範も参考にすることをお勧めする。

スマホアプリを提供する事業者は、セキュリティとユーザーの信頼を最優先に考え、つねに最新のベストプラクティスを導入することで、利用者の信頼を獲得し、アプリの利用拡大につなげることを心掛けよう。

（本間 輝彰 ： 日本スマートフォンセキュリティ協会 副会長 理事／KDDI アプリケーション開発部 エキスパート）