• ZDNET Japan
• セキュリティ

　ダウンロードするアプリには注意が必要だ。AppleやGoogleの通常は厳格な審査をパスしたからといって、そのアプリが100％安全だという保証はない。

提供：Getty

　AppleもGoogleも、規約に従わないアプリをたえず探している。例えば、Appleは2022年、プライバシーやセキュリティ、コンテンツの基準を満たしていないアプリ170万本近くの登録申請を却下したと発表している。Googleは同年、ポリシーに違反しているアプリ143万本がアプリストアで公開されるのを阻止したという。

　そうした取り組みにもかかわらず、金銭や個人情報を盗むために公開された不正なアプリは今も審査プロセスをくぐり抜けている。研究者は日常的に、マルウェアアプリを発見している。こうしたマルウェアは、データを盗んだり、デバイスをボット化してサービス拒否（DoS）攻撃やスパム攻撃に利用したり、あるいは単に、偽のクリックを集めて利益を上げられる不要な広告をスマートフォンに表示させたりするように作られている。

　だいたいのところ、こうした研究報告はAppleやGoogleの注意をすぐに引き、たいていの場合、両社がすぐに問題のアプリをストアから削除したり、アプリの開発者に対してしかるべき措置を講じたりする。しかし、研究者らは、アプリに明白な不正がなくても、あるいはAppleやGoogleの開発者向けの規約に反していなくても、ユーザーに問題をもたらす場合があると警告している。

　英国のサイバーセキュリティ企業Sophosは先ごろ、AppleとGoogleのストアで「ChatGPT」のようなオープンソースの人工知能（AI）ツールの人気につけ込むアプリを指摘するレポートを発表した。

　Sophosによると、これらのアプリはアプリストアのポリシーの抜け道を利用して、ChatGPTベースのチャットボットを装い、欺されて自分が使うためにダウンロードしたユーザーに不当な料金を請求するという。

　これらのアプリが利用を促す無料トライアルは「機能がほぼなく」、ユーザーに大量の広告を表示し、それから有料サブスクリプションへの登録を促す。その料金は年間数百ドルかかる場合もあるという。

　Sophosの脅威研究主任Sean Gallagher氏は次のようにコメントした。「（アプリの開発者らは）ユーザーが料金に注意を払わなかったり、このサブスクリプションに登録していることを忘れたりすると見込んでいる」

　同氏はさらに、これらのアプリは無料試用期間が終わったらあまりユーザーの役に立たないよう故意に設計されているとも述べた。それによって、週額または月額でまだ料金を支払っていることに気づかないままアプリをユーザーに削除させられるという。

　研究チームは、複数のいわゆる「フリースウェア」（Fleeceware：「fleece」には金品を巻き上げるという意味がある）アプリを調査した。これらのアプリはいずれもChatGPTのアルゴリズムをベースにしているとの説明がある。ChatGPTの開発元OpenAIは確かにこのAIの無料版をオンラインで提供しているが、問題のアプリはほぼ同じような機能のために高額なサブスクリプション料金を課していた。

　例えば、あるアプリは3日間のトライアル後に1週間あたり6ドル（約840円）を請求している。大した金額には思えないかもしれないが、年間に換算すると300ドル（約4万2000円）を超える。

　レポートで挙げられたアプリの一部は、その後アプリストアから削除されたが、残っているものもある。Sophosの研究チームはレポートの中で、これらのアプリは開発者向けのルールにかろうじて違反しないように設計されているため、不正であることが明らかなアプリとは異なり、アプリストアの審査で却下されることはほとんどないと指摘している。

　研究チームはまた、AppleとGoogleはどちらも開発者がアプリのサブスクリプションで稼いだ金銭から多額の手数料を得ているため、こうしたアプリをストアから削除する動機があまりないとも指摘している。

　Googleはコメントを出し、Sophosがレポートで言及しているように、指摘されたアプリの一部を削除し、その他のアプリについても調査を続けていることを明らかにした。また、フリースウェア対策のポリシーの強化にも取り組んでいるという。米CNETはAppleにコメントを求めたが、現時点で回答は得られていない。