VTB系とみられる偽装アプリが米App Store上位に入り、Appleは数時間で削除
ロシア語だけのPomodoroアプリを装った「Cириус」が、6月5日に米App Store無料ランキング上位へ入り込み、その後まもなく削除されました。9to5MacはTelegram上の動きからロシア国営系銀行VTBのクライアントだとみられると報じており、Appleが普段強調しているApp Reviewと、実際のすり抜けの間にあるズレが見える事例です。
上位表示されたのはロシア語だけの作業タイマー風アプリだった
9to5Macによると、6月5日の朝に米App Store無料ランキング上位へ入っていたのは、ロシア語のみで提供される「Cириус」という生産性アプリでした。説明文はPomodoroタイマーやタスク管理をうたっていましたが、英語表示がなく、一般的な作業アプリとして急浮上したとは考えにくい状態でした。
記事は掲載から約2時間後に『アプリは削除されたようだ』と追記しています。つまり今回は、長期間放置された危険アプリというより、ランキング上位に見える形で露出したあと、比較的早く引き下げられたケースです。
問題はアプリ名より、誰の金融サービスを迂回的に配っていたか
9to5Macは、Telegram上のやり取りを手がかりに、このアプリがロシアの金融機関VTB Bank向けクライアントだとみられると伝えています。米財務省は2022年2月24日、VTB Bankに全面的な制裁を科し、50%以上を保有する関連企業もブロック対象になると公表しました。
その前提で見ると、焦点は『変な作業アプリが一瞬流行った』ことではありません。制裁下の金融サービスが、別名義の開発者アカウントや別用途の外観を使って流通を試み、しかも一時的でも米App Storeの目立つ位置へ入れたこと自体が論点です。
Appleが数時間で引き下げても、審査と監視の穴は残る
AppleはApp Store securityの文書で、全アプリと全アップデートを審査し、マルウェア、詐欺、誤認を減らすために自動スキャン、人手レビュー、問題発覚後の即時削除まで含めた多層防御を説明しています。今回の件は、その『後から削除できる』仕組みが機能した一方で、『上位表示される前に止める』部分にはまだ穴があることも示しました。
Appleの審査は万能ではありませんが、金融や本人確認に触れるアプリでは『見た目が無害か』より『誰のサービスへつながるのか』の検証がより重要になります。ランキング上位は発見の場でもある半面、検出が遅れたときの拡散装置にもなるとわかる事例でした。
今回は素早く削除されたものの、App Storeの信頼性を支えるのは審査があること自体ではなく、制裁対象や偽装配布のような高リスク案件をどこまで事前に止められるかです。Appleにとっても、単なる一本の不正アプリではなく、レビューと監視の優先順位を問い直す案件に見えます。