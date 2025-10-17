

今年12月から、スマホ業界を大きく変える新しい法律「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律（略称：スマートフォンソフトウェア競争促進法（SSCPA）」（以下、スマホ新法）が施行されます。

長い名前の法律ですが、簡単に言うと、これまでAppleやGoogleが独占していたスマホの世界に、もっと競争を持ち込もうという取り組みです。



一方で、セキュリティリスクについても懸念されています。スマホ新法では、外部ストアからのアプリ提供が解禁されます。議論の中心になるのがまさにここでしょう。

一般的に外部ストアで配布されるアプリは、公式ストアほど厳格な審査が行われていないため、脆弱性や悪意のあるコード混入のリスクが高いとされています。

例えば、2024年には、Amazon Appstoreで「BMI Calculation Vsn」という健康アプリを装った悪質なアプリが発見され、画面記録機能によりパスワードや機密データの取得が可能な設計となっていました。

法律施行後は、こうした外部ストアのアプリが増加し、高度な解析やリアルタイム監視なしには検出が難しい脅威が拡大する可能性があります。

｢危険アプリ｣だけではない！意外な落とし穴

次に大きな変化として挙げられるのが、決済システムの多様化です。スマホ新法では、これまで制限されていた外部決済システムの導入がより広範囲に開放され、小規模な事業者や個人開発者も独自の決済システムを提供できるようになります。

アプリ事業者は従来、AppleやGoogleにアプリ内課金の30%を手数料として支払う必要がありましたが、今後は事業者が自由に決済手段を選択できるため、手数料を回避したり、より柔軟な課金システムを導入したりすることが可能になります。

しかし、この変化には深刻なセキュリティ問題が2つあります。

まず、開発者の経験不足による技術的な不備です。決済システムは非常に複雑で、クレジットカードの会員情報の保護を目的に定められた国際的なセキュリティ基準「PCI DSS」への準拠のほか、3Dセキュアや暗号化処理など、高度なセキュリティ知識が必要です。

これまでAppleやGoogleが厳格に管理していた決済処理を、十分な経験のない開発者が手がけると、アプリに不正なコードを注入する攻撃「SQLインジェクション」やAPIキーの漏洩など、基本的な脆弱性を見落としやすくなります。

さらに重要な問題は、不正利用が発生した際のアフターケア体制です。私自身もクレジットカードを不正利用されたことがありますが、サービスプロバイダーから直ちに事実確認の連絡があり、カードの利用停止と新規カード発行が迅速に行われました。その後、不正利用分の全額が返金され、一切の負担を負うことなく問題が解決しました。

こうした24時間365日の監視体制、不正検知システム、被害者への迅速な対応、損害補償、そして確実な返金処理といったサポート体制は、大手決済事業者だからこそ可能なものです。

小規模事業者や個人の開発者では、不正利用の早期発見はもちろん、被害が発生した際の適切な対応や損害補償、返金処理を提供するのは現実的に困難でしょう。結果として、利用者が泣き寝入りするリスクが高まることが懸念されます。

｢任意ブラウザ｣に潜むセキュリティリスク

もう1つ、スマホ新法の重要な変化として見落とされがちなのが、デフォルトブラウザの自由な選択です。

これまでiOSではSafari、AndroidではChromeが標準ブラウザでしたが、今後は任意のブラウザをデフォルトに設定できるようになります。

SafariやChromeは膨大な開発予算により、フィッシングサイトの検出や有害サイトのブロック、セキュリティパッチの自動配信などが充実していますが、マイナーブラウザでは、これらのセキュリティ機能が不十分な場合があります。

とくに懸念されるのは、パスワードマネージャーや自動入力機能の信頼性です。主要ブラウザでは認証情報の暗号化に高い基準を設けていますが、小規模開発チームが作るブラウザでは実装が甘く、認証情報漏洩のリスクがあります。

また、多くのWebサービスは主要ブラウザでの動作を前提に開発されているため、マイナーブラウザでは認証エラーや表示不具合が発生し、ユーザーがセキュリティ設定を緩くしてしまう可能性もあります。利用者が、どのブラウザが本当に安全なのかを判断するのは困難です。





個人ができるリスク対策は？

こうした多層的なリスクに対処するため、個人レベルでは何よりもまず、公式ストア（Google PlayやApp Store）以外からのアプリ入手に注意を払う必要があります。外部ストアからアプリを入手する場合は、正しい外部ストアかどうかを確認し、不審なサイトからのインストールは避けるべきです。

アプリをダウンロードする前には、開発者名や企業情報、ユーザーレビューを確認し、極端に評価が低い、もしくはレビュー数が不自然に少ないアプリは避けたほうが無難です。

また、アプリのインストール時に過度な権限要求（懐中電灯アプリがカメラやマイクへのアクセスを求めるなど）がある場合は、そのアプリを避け、アドレス帳、画像ファイル、位置情報やカメラ、マイクなどのアクセス許可は必要最小限に留めるべきです。

さらに、OSの製造元やキャリアがサポートを継続している端末を使用し、OSやアプリを定期的にアップデートすることも欠かせません。古い端末やサポートが終了した機種では、新たな脆弱性に対する修正が提供されず、スマホ新法施行によって多様化するアプリやブラウザのリスクに対処できません。

一般的な利用においてはこれらの対策で十分な安全性が確保されますが、リスクの高い利用環境では、信頼できるモバイル向けセキュリティソフトの導入を検討してください。

選択時は、知名度の高いセキュリティ企業の製品、公式ストアから入手可能な製品を基準とし、Android端末ではAV-TESTなど第三者評価機関での高評価も参考にするとよいでしょう。フィッシング対策やWi-Fiセキュリティチェックなどの基本機能を確認することが重要です。

企業が取り組むべき｢ルール化｣のポイント

企業においては、社内スマートフォンの使い方に関するルール化が必要です。また、会社支給の端末には管理システムを導入し、許可されていないアプリのリアルタイム削除や不審な動作の自動検知を整えることが重要です。

ただ、従業員の立場からすると、このようなルールが複雑になればなるほど、覚えるのも一苦労です。「このアプリは使っていいのか」「この決済方法は会社の規定に合っているのか」といった細かいチェックを毎回するのは現実的とはいえないでしょう。

また、リアルタイム監視によるプライバシーへの懸念もあります。企業の管理者にはぜひとも、従業員の声を聞きながらルール化を進めてほしいと思います。

セキュリティも大切ですが、あまりに厳しすぎるルールや監視は、働く側のモチベーションやプライバシーに影響を与えかねません。実際に端末を使う現場の意見を取り入れて、セキュリティと使いやすさのバランスが取れたルール作りをお願いしたいところです。

今後、スマホ新法が本格的に始まると、スマホ周りの技術環境は大きく変わりそうです。AIアシスタントの普及や6Gネットワークなど、新しい技術が次々と登場する中で、セキュリティの課題もどんどん複雑になっていくことが予想されます。

業界や政府も対策を検討していますが、技術の進歩に追いつくのは簡単ではないでしょう。12月の法律施行まであまり時間もありませんし、個人も企業もできるところから対策を始めるしかないというのが現状かもしれません。

完璧な対応は難しくても、少しでもリスクを減らす努力は、アプリ提供者やストア提供側、利用者側それぞれが続けていく必要がありそうです。

