楽天は2015年8月19日、Androidアプリストア「楽天アプリ市場(いちば)」のサービスを開始した。サービス開始当初にセキュリティにかかわる問題点が複数指摘され、同社はそれを受けてWebサイトに掲示する文書などを修正することになった。この一件は、Androidにおけるアプリストアの課題を再認識させた。
楽天が2015年8月19日にサービス開始した「楽天アプリ市場(いちば)」は、Android向けの独自アプリストアである。こうしたサービスを新規に立ち上げるのは、大きなチャレンジと言える。先行するアプリストアが既に多くのアプリを抱え込んでいるからだ。例えば、米グーグルが提供する「Google Playストア」は約160万、米アマゾン・ドット・コムが提供する「Amazon Appstore」は約40万のアプリをそれぞれ集めている(いずれも2015年時点の数値)。
しかし楽天は、競合他社がカバーできないアプリを集めることや、販売手数料の引き下げ、同社ポイントサービスとの連動、厳格なセキュリティ審査などによって十分な競争力を確保できると判断したようだ。
サービス開始時点までに集めたアプリの数は約390。今後順次拡充していくという。
セキュリティ問題が指摘される
残念ながら楽天アプリ市場は、サービス開始直後からセキュリティ研究者などからの批判を受けることになった。セキュリティに関する2つの問題点が存在していたからである(図1)。
問題点の一つは、「提供元不明のアプリ」のインストールを許可する危険性をユーザーに説明していなかったこと。Androidは、Google Playストア以外からのアプリのインストールを既定で禁止している。そのため独自アプリストアを運営する事業者は、(1)専用インストーラーを開発してAndroidのシステムアプリとして組み込む、(2)提供元不明のアプリのインストールを許可するようにユーザーに呼びかける─のいずれかを実施する必要がある。しかし(1)は端末メーカーや端末の販売元でなければ事実上不可能。そこで一般には(2)が採用される。楽天もインストール手順書で、提供元不明のアプリのインストールを許可するようにユーザーに指示している。
これはAndroidの仕様上必要な指示であり、それ自体は責められない。問題視されたのは、この設定変更のリスクをユーザーに説明していなかったこと。設定変更によって、あらゆる配布元からのアプリがインストール可能になり、マルウエアをインストールするリスクが高まる。このリスクを周知させなければ、危険な設定のままユーザーが端末を使い続ける恐れがある。
もう一つの問題点は、楽天アプリ市場を利用するためのアプリをHTTPSではなくHTTPで配信していたことである。HTTPでは、正規サーバーからアプリが配信されているかどうかをユーザーが確認できない。そのため、DNSキャッシュポイズニング攻撃などによってユーザーがマルウエア配信元に誘導された場合に、それを検知できずにマルウエアをインストールしてしまう危険がある。
