2017年06月02日 08時00分 公開
特集/連載

セキュリティ上のリスクが増大AppleはなぜiOSアプリの「ホットパッチング」を禁止したのか

Appleは、モバイルアプリ開発者によるホットパッチングの利用を禁止した。この技術は、審査済みのアプリの挙動を変更できるからだ。

[Kevin Beaver,TechTarget]

関連キーワード

Apple | iOS | iPhone | 脆弱性


Appleの「方針変更」が開発者やIT管理者、そしてユーザーを振りまわすのも事実だが、それが結果的に全体のメリットとなることもある

 Appleは2017年3月から、「Rollout.io」や「JSPatch」のようなフレームワークを通じてホットパッチングを利用しているモバイルアプリ開発者に対し、Appleの規定に違反していると警告し始めた。

 Appleは開発者に送信した電子メールの中で、次のように述べている。「あなたのアプリケーション、拡張、またはリンクされたフレームワークは、アプリケーション審査の承認後にあなたのアプリケーションの挙動や機能を変更できるように明確に設計されたコードを含んでいるようです。これは、Apple Developer Programライセンス契約の3.3.2と、App Store審査ガイドライン2.5.2に違反しています」

 ガイドライン2.5.2は、次のように定められている。「アプリケーションはバンドル内で自己完結している必要があります。別のiOS、watchOS、macOS、tvOSのアプリケーションを含め、指定されたコンテナエリア外に対するデータの読み書き、またはエリア外からのコードのダウンロード、インストール、実行は許可されません」(訳注:なお、審査ガイドラインの引用部分は、こちらを参照しています)

 ホットパッチングは、エンドユーザーにとって透過的なリモート更新プロセスを指す。モバイルアプリケーションの脆弱(ぜいじゃく)性を緊急に修正する必要がある場合など、開発者とエンドユーザーの両方にとって、大半の状況で優れたアプローチだ。だが、ホットパッチングは、「App Store」などのアプリケーションエコシステムでは、問題視される可能性がある。ホットパッチングによって、AppleのApp Store審査後にアプリの挙動や機能を変更できるからだ。これにより、悪意ある開発者や中間者攻撃を行う者は、Appleの監督を回避して、思い通りにコードを注入または変更できる。

 悪意あるコードについての自分の知識と、人々のシステムのセキュリティやプライバシーを侵害しようとするハッカーや政府機関の数を考え合わせると、この件に関するAppleの判断は責められない。App Storeのセキュリティは常に厳重に監視されており、開発者にホットパッチングの利用を認め続ければ、Appleがユーザーの利益を最優先して行ってきた取り組みが、無駄になるかもしれない。

 Appleがこうしたパッチングを認める決定を下した当時は、悪意ある者が悪用する可能性を考慮していなかったのだろう。この決定の下でホットパッチングを直接利用してきたのは、モバイルアプリユーザー数全体と比べると比較的少ない開発者だ。だが、Appleはビジネス上の判断として、全体のリスクを最小限に抑えるために、その利用を禁止するに至った。

 では、この変更はエンタープライズ環境にどのような影響を与えるだろうか。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news012.jpg

若者の夏休み離れ? 大学生の3割が「夏休みは楽しみではない」――Dpick調べ
Dpickが大学生を対象に「夏休みに関する意識調査」を実施しました。

news128.jpg

就職人気企業の採用担当者が重視するのは「クリエイティビティー」と「デジタルリテラシー」――アドビ調査
アドビ システムズ(以下、アドビ)は、日本に所在する企業の人事担当者を対象とした「新...

news064.jpg

「コードアワード2018」大賞はPerfume出演5G実証実験
D2Cは、デジタルマーケティングの広告賞「コードアワード2018」の最終審査を行い、ファイ...