要約すると、泥棒は肩越しの覗き見、盗撮、或いは人を騙すソーシャルエンジニアリングによって被害者の iPhone パスコードを見つけ出し、そして iPhone をひったくって逃げる。時として、犯罪者はパスコードを引き出すために人々に薬物を与えたり、脅迫したり、暴行したりする。その後すぐに、泥棒はパスコードを使用して被害者の Apple ID パスワードを変更して、アカウントから締め出し、iPhone 上のアプリやデータを使用してお金を盗み、商品を注文し、そしてたいてい大混乱を引き起こす。
この様な攻撃が成功したのは、Apple がパスコードをきちんと思い出せない人達のために Apple ID のパスワードをリセットすることを容易にしたためである。多くの人が Apple ID のパスワードを忘れてしまうので、Apple はセキュリティをある程度犠牲にしても、人々に忘れたパスワードから簡単に回復するのを許すだけの価値があると判断した。また、Apple ID のパスワードをリセットするためのセルフサービスオプションを提供することで、Apple のカスタマーサービスの間接費は間違いなく削減された。残念ながら、抜け穴や裏口がある時はいつでも、犯罪者はやがてそれを見つけてしまう。
Stolen Device Protection をオンにするとどうなるかは以下の通り。あなたが慣れ親しんだ場所にいる時には全てが以前と同じように機能する - 自宅、職場、或いは iPhone が機器ベースの Significant Locations システムを使用してあなたが頻繁に使用すると判断した場所なら何処ででも。Apple ID のパスワードを変更したり、Find My をオフにしたり、Keychain でパスワードにアクセスしたり等々は何ら新たな要件なしに出来る。
しかしながら、あなたが不慣れな場所にいると思われる時は何時でも、あなたのアカウントや機器に対する重要な変更には、Face ID または Touch ID 認証が必要で、パスコード等の代替手段や緊急避難は使えない。また、最も重要なセキュリティアクション動作には、二回目の生体認証を実行する前に一時間の待ちが必要となる - カウントダウンタイマーで表示される。この遅延により、攻撃者が暴力の脅威であなたに認証を強制する可能性は低くなる。
Apple が言うには、不慣れな場所で以下のことをするためには Face ID か Touch ID 認証が必要になる:
注目に値するのは、Apple Pay での対面購入には iPhone のパスコードを引き続き使えるが、それはわずかな脆弱性を残すことになる。Apple は、恐らく店舗で何かの支払いを試みている時に Face ID や Touch ID が失敗しパスコードでの代替手段に頼ることが出来ないのではどうしようもないと感じたのであろう。
Stolen Device Protection をオンにするのは簡単で、Face ID や Touch ID を使用している全ての人にそうすることを私はお勧めする。Settings > Face ID/Touch ID & Passcode に行き、パスコードを入力し、 Turn On Protection をタップする。(有効になっている場合、Turn Off Protection をタップすればその追加の保護手段はフになる)
生体認証で問題が起こる人達もいる。Face ID より Touch ID でその事例が多くあるようだ。すべての iPhoneユーザーが生体認証に依存できないことは、Apple が Stolen Device Protectionをオプションにした大きな理由の一つである。あなたがそのグループの一人である場合、Stolen Device Protection は、馴染みのない場所では生体認証を必要とするため、問題となる可能性がある。例えば、旅行中の場合、Stolen Device Protection があって Face ID や Touch ID での認証が出来なくなると、Keychainでパスワードが使えなくなる。
AI による音声なりすましが古くからある詐欺電話に新たな一捻りを加えており、あなたもあなたの家族もそれに対処しておく必要がある。犯罪者たちがオンラインオーディオのスニペットを入手できて、それをもとに十分説得力のある AI 音声を作成できるツールが広く利用可能になっており、電話の接続が悪いという言い訳でなおさら信憑性が増すという現状を、あらかじめよく知って備えておくべきだ。
標的の人物の音声の録音を詐欺師がどうやって入手したのかがはっきりしない場合もある。もちろん、その人物がポッドキャスターだったり、YouTube や TikTok のビデオに出演したことがあったりすれば、そこから音声を入手するのは容易だろう。ただ、同じ年齢層で同じ訛りの汎用音声でも十分人を騙せるということもあり得る。もちろん、似せる努力が不要な状況の下でも事件は起こっている。電話をかけてきたのは AI と思われるが、モントリオール在住の高齢の女性を騙すためにイタリア語のニックネームを使い、彼女に Nonna (イタリア語で「おばあちゃん」) と呼びかけた。なかなか巧みなやり方で、得られる金銭の額が比較的少額なのに似合わない程度の情報収集の労力を必要としたことだろう。
その種の詐欺が電子メールで届くこともある。ただしその場合は緊急の感覚が減るので信憑性が減ることが多いだろう。また、言葉遣い、スペリング、その他書き言葉に伴う問題も生じるだろう。私は 2010 年に「友人」の Anna と称する人物からの電子メールを受け取った。本物の Anna を私は知っているし好ましく思ってはいるけれども、大金を貸してくれと頼めるほどには親しくないし、彼女は上品な人物で私が彼女とやり取りする際の言葉遣いに敏感だ。最初に届いた電子メールは簡潔なもので、私がそれに返信したところ下に示すものが届いた。全く説得力がない。でも、これは生成 AI がこの種の文章をしたためるようになるより以前の時代のことだ。
ロボットたちがあなたのお金を狙う
家族や友人、同僚たちの間でパスワードを共有しておくことで、この種の詐欺の大半は防げる。ほとんどの種類の認証と同様に、その手順には out-of-band (帯域外) の情報チャンネルが必要となる。基本的に、セキュア化しようとしているものとは別のコミュニケーション手段を使って、何らかの秘密の情報を伝えておくのだ。(TidBITS では多くの記事で out-of-band の話題を取り上げているので、"Out of Band" という名前の音楽グループでも組んだらいいのではないか。)
Apple が European Union (EU、欧州連合) で iOS アプリを配布する方法に関して驚くべき変更を発表した。簡潔に言えば、これからは iOS アプリの入手源が Apple の App Store のみではなくなるが、Apple はそのことに満足していないという事実をでき得る限り明確な表現で伝えようとしている。
Apple の変更は、2022 年に European Parliament (欧州議会) が可決した European Commission (欧州委員会) の Digital Markets Act (DMA、デジタル市場法) により強いられたものだ。DMA の下で Apple は「コアプラットフォームサービス」の「ゲートキーパー」に指定される。それにより、Apple はそのプラットフォーム上でユーザーがサードパーティとの間でビジネスをすることを妨げてはならず、Apple が自社のサービスを優遇することもできない。
公正のために言えば、DMA が存在するのは EU が域内の小規模のビジネスやユーザーを保護すること、彼らが大規模なオンラインプラットフォームを運営する固定化されたテクノロジー巨大企業に押し潰されないようにすることを望んでいるからだ。DMA が定めた要件がその目標を達成するための最良の方法であるかには議論すべきところがあるけれども、大規模なオンラインプラットフォームが非競争的かつ独占的なやり方でユーザーや小規模ビジネスに害を与えたことがあるのは否定できない事実だ。
この発表には Apple Fellow の Phil Schiller の言葉も引用されていて、彼なりの「父さんがっかり」の口調が見える:
本日発表する変更は、欧州連合のデジタル市場法における要件を遵守するものであると同時に、この規制によって増大することが避けられないプライバシーやセキュリティ上の脅威から EU 域内のユーザーを守るためのものです。私たちの最優先事項はこれまで通り、EU そして世界中のユーザーに向けて、可能な限り最善かつ最も安全性の高い体験を作り出すことです。
Phil Schiller は決して EU に腹を立てているのではない。彼はただ... がっかりした だけだ。
長年にわたり、Apple は強硬な App Store のやり方こそがプラットフォームをセキュアに保つ唯一の方法だと主張してきた。(それと同時にプラットフォームを開発し維持するため開発者収益の十分な取り分も保証される。) けれども Rich Mogull が記事“Apple の App Store の頑固さこそ iOS 最大のセキュリティ脆弱性か”(2022 年 4 月 8 日) でいみじくも予見した通り、その強硬なやり方が裏目に出て EU が力ずくで Apple の壁に囲まれた庭を開放させるに至ったのだ。
Apple の言葉は誇張してものを言っているのかもしれないが、誤ってはいない。これらの変更は今後 Apple のプラットフォームのセキュア度を下げることだろう。問題は、それがどの程度かという点にある。だからこそ Apple はユーザーを保護するために考え得るあらゆる手段を講じようとしているのだ。
Apple はどのようにユーザーを保護するつもりか
Apple の壁に囲まれた庭の外でアプリが配布できるようになっても、それが Apple の検査を逃れられるようになる訳ではない。
その人の手による審査が「そのアプリが既知のマルウェアやウイルス、その他セキュリティ上の脅威を含んでおらず、約束された通りの機能をし、ユーザーを恐ろしい詐欺にさらしたりしない」ことを確認する。しかしながら、Apple と数度のブリーフィングをした John Gruber によれば、アプリマーケットプレイスを通じて配布されるアプリがコンテンツを理由として却下されることはないという。例えば、Apple がアダルト向けアプリを App Store で受け入れることはないけれども、アプリマーケットプレイスでは許容されるという。
基本となるアプリの審査に加えて、iOS はアプリインストールシートを表示する。アプリマーケットプレイスからアプリをインストールする際に、このインストールシートがそのアプリについての基本的な情報を要約する。また、そのようなアプリをインストールした際に Apple はバックグラウンドでマルウェアスキャンを走らせる。
いずれの時点においても新しいビジネス条件を採用した開発者は EU 向けのアプリについて Apple の従来のビジネス条件に戻ることはできない。規約に変更があり次第 Apple は事前通知を開発者に送り続けるので、その後のビジネスについて十分知識を得た上での選択ができる。
開発者が新しいビジネス条件を選んだ場合、その開発者のアプリは App Store に従来通り置き続けることもでき、それとは別に代替アプリマーケットプレイスにも置いて従来より安くなった 10% または 17% のコミッション料を支払うこともできる。その点は嬉しいことだが、ここで計算はさらに複雑になる。その開発者が Apple を決済業者として使う場合には、追加で 3% の決済手数料を支払う必要が生じる。加えて、もしもアプリがヒットして、EU 域内で Apple アカウントあたりの年間インストール件数が (ダウンロード、再ダウンロード、アップデートを含めて) 100 万件を超えた場合、それを超えたインストールごとに 12 か月ごとに 0.50 ユーロの Core Technology Fee を開発者が支払わなければならない。ただし非営利団体、学術機関、および政府機関による無料アプリではこの Core Technology Fee が免除される。
この新しいビジネス条件では、開発者が EU 域内で Apple のシステムから完全にオプトアウトして Core Technology Fee のみを Apple に支払うようにすることも認められるが、そのようにした場合その開発者は配布・決済・その他に関して EU の法律に基づく責任をすべて自前で負わなければならない。
まず第一に、Apple は App Store でゲームストリーミングアプリを受け入れるようになっている。例えば Xbox Cloud Gaming や Nvidia の GeForce Now などのサービスが、ハイエンドのハードウェアを必要とせずハードウェア負荷の高いゲームをプレイすることを可能にする。ゲームのコードが遠隔サーバ上で処理され、ビデオがあなたのデバイスにストリーミングされる。この変更の結果として、近いうちにもっともっと多くのゲーミングの選択肢が App Store に登場するようになるだろう。(それらのサービスの中から Apple TV にも進出するものが出てくれば嬉しいのだが。)
第三に、従来はアプリが Google アカウントやその他のサードパーティの認証サービスを通じてサインインするオプションを提供する場合、それと合わせて Apple のサービスを使うオプションも提供している必要があった。今後は少なくとも技術的にはそれが要件でなくなり、開発者は Sign In with Apple オプションを含めることなく自らのアプリの中で「サードパーティまたはソーシャルのログインサービス」を提供できるようになる。ただしその場合にも「同等にプライバシーを重視したログインサービス」を提供しなければならないとされている。多くの開発者にとってその点は越えるのが難しいハードルであろうから、実質的にはこれまで通りの方針が続くと言えるのかもしれない。
EU は App Store の実験台
Apple はこれらの要件が誤った考え方に基づくものでありユーザー体験に害を及ぼすものだという自らの主張を圧倒的明快さをもって押し出している。おそらく Apple は世界中の他の権威も同様の譲歩を求めてくるのではないかと恐れているのだろうし、その恐れは当たっているのだろう。結局のところ、基盤構造は既にそこにあるのだし、さらに悪いことに国によっては違う種類の譲歩を要求してくるかもしれない。
EU は自らをこの種の政府の介入に関する叩き台とした。Apple は不本意ながらも要求に従ったが、明らかに Apple は開発者たちが現状を維持してくれることを望んでおり、全力を尽くしてそうなるように仕向けている。Apple の今回の発表はこれらの変更点のあらゆる否定的な面を強調することに力を注ぎ、セキュリティのリスク、詐欺の懸念、不快なコンテンツ、ユーザーの混乱、バッテリー駆動時間への悪影響まで挙げている。そして、今後その種の問題が実際に起これば Apple はきっと素早く行動して問題を指摘した上で、EU に縛られてさえいなければそんなことは起こらなかったのにと説明するに違いない。
2024 年 1 月 24 日は Macintosh の 40 周年記念日であり、ウェブ上のさまざまな出版者が Mac の過去を振り返る記事を公表した。TidBITS Talk 上でこの話題の口火を切ったのは Nello Lucchesi で、錚々たる Mac 著名人たちが Computer History Museum に集まるライブの Insanely Great イベントを紹介してくれた。私たち TidBITS スタッフの何人かも他の記事へのリンクを紹介した。記憶の小径を辿ってみたいなら、これらのリンクを見てみよう。