サイドローディングされる典型的なアプリ5種と、それらが抱えるリスク

サイドローディングとは

モバイルセキュリティにおけるサイドローディングとは、デバイスのOS開発者によって承認されていないアプリを追加するプロセスのことを指します。App StoreやGoogle Play Storeで提供されるすべてのアプリは、各アプリストアの審査を受けています。悪意のあるアプリが見つかったケースは両ストアで確認されているものの（その半数以上がGoogle Play Store）、アプリストアがフィルタとして機能し、エンドユーザの手に渡る前にほとんどの悪意のあるアプリを阻止してくれます。
しかしサイドローディングは、様々な理由で公式アプリストアで提供されていないアプリへのアクセスを可能にします。公式のアプリストア以外のソースから手に入るアプリはセキュリティの審査を受けておらず、悪意のあるアプリと知らずにデバイスにインストールしてしまった場合、ユーザは自らを危険に晒すことになります。Appleデバイスにアプリをサイドローディングするには、（常にではないものの多くの場合）デバイスを不正改造（「ジェイルブレイク」）する必要があります。

「ジェイルブレイク」、「ルーティング」、「サイドローディング」の違い

「ジェイルブレイク」という用語は、さまざまなモバイルデバイスに使われることもありますが、一般的にはAppleのデバイスに関わるものです。高度なセキュリティレベルを維持するため、AppleデバイスではApp Storeからダウンロードしたアプリしか使用することができない作りになっています。ジェイルブレイクは、デバイスのユーザ権限を拡大することでこれを回避する方法です。これにより、ユーザはデバイスの標準的な機能へのアクセスに加えて、App Store以外のソースからアプリをインストールすることができます。
一方、GoogleはAppleほど厳しくAndroid OSに制限を適用していません。初期設定ではアプリのサイドローディングは無効になっていますが、サードパーティのソースからアプリをダウンロードできるように設定を変更することが可能です。当社の調査によると、全デバイスの約20％でこの設定が有効になっています。この方法はジェイルブレイクと比較して危険は少なそうに見えますが、デバイスを危険に晒すという点では変わりありません。
ルーティングは、「Android版ジェイルブレイク」と誤解されがちです。ルーティングとジェイルブレイクは両者とも権限昇格を手法とする点で似ていますが、ルーティングはAndroidユーザにより多くの権限を与えます。デバイスにルートアクセスを提供することからそう命名されるようになったルーティングは、デバイスのOS自体に手を加えるといった大規模な変更さえも許す、スーパーユーザの権限を与えるものです。　

従業員がサイドローディングする典型的なアプリ

当社の調査によると、企業のデバイスにはさまざまなアプリがサイドローディングされていることが分かっています。その中でももっとも多くサイドローディングされているアプリを5つのカテゴリーに分けてご紹介します。

1. ビジネス用のカスタムアプリ

カスタムアプリは、異なる部署の特定のユースケースに合った機能を提供できるため、組織にとって大きなメリットがあります。あるJamfカスタマーは、ケアスタッフが患者の記録を更新したり病室から処方箋を注文したりできる機能を備えたカスタムアプリを構築・導入しました。これは、事務作業にかかる時間を減らし、患者と過ごす時間を増やすことが目的でした。
カスタムアプリを導入する場合、機密情報を含んだアプリを広く一般に公開したくないため、組織は公式アプリストアを回避する傾向にあります。例えば、人事部用の従業員管理アプリには従業員の個人情報が含まれ、社内向けニュースアプリには企業の機密情報が含まれています。複雑なユーザ認証を必要としないこういったアプリをユーザに提供する別の方法をITチームが求める理由はここにあります。

【リスク】

アプリのサイドローディングは一般的に危険な行為として認識されていますが、実際には便利なアプリ配布方法として多くの組織で実施されています。そのため、アプリが悪意のない形で設計され、望ましいレベルのセキュリティが担保されていることを保証できることが重要になります。アプリをインストールするためにデバイスをジェイルブレイクすると危険なアプリのダウンロードやインストールを許してしまうことになるため、多くの組織は別の方法を選択する傾向にあります。具体的には、カスタムアプリの署名が記載された証明書プロファイルを事前にインストールするか、EMM（エンタープライズモビリティ管理）ツールを使用します。
カスタムアプリを持つ企業は多くの場合、その開発をサードパーティに委託しています。しかしこういったサードパーティの開発者は、パフォーマンスやネットワーク上の問題といったセキュリティの懸念事項を検出する堅牢な審査ワークフローを適用しない場合があります。ある企業の人事部向けトレーニングアプリでは、ログインする際に仕事用のメールアカウントにログインするのと同じユーザ名とパスワードが使用されており、このログイン情報が保護されていませんでした。
さらに、こういったカスタムアプリは既存のOSバージョン向けに最適化されており、AppleやAndroidがOSのアップデートを行ったタイミングで、アプリの機能の一部が使用できなくなる可能性があります。こういった点から、OSのアップデートを管理できるサービスを使用することが、カスタムアプリを最大限に活用する上で重要になります。
危険度：⭐︎

2. サードパーティのアプリストア

モバイルアプリの最大の配布ポイントとして、iOSにはAppleのApp Store、AndroidにはGoogle Play Storeがあります。しかし、これらの主要なストア以外に、サードパーティーのアプリストアという大きく危険な世界が存在します。実際に世界には300以上のアプリストアがあり、その数は増加し続けています
当社のデータによると、企業のiOSデバイス向けでもっとも人気のあるサードパーティアプリストアのひとつとして、2017年に英語版がリリースされた中国のアプリストア、Tutuappが挙げられます。Tutuappは、人気の高いゲームの海賊版またはハックされたバージョンをホストしていることで知られ、中には、移動することなくポケモンを捕まえられる「Pokémon Go」のバージョンまであります。Tutuappでホストされているアプリは、Google PlayやApp Storeと同じように厳密に検査されていません。
Androidでは、提供元不明のアプリのダウンロードを許可するよう設定しておけば、アプリのウェブサイトにアクセスしブラウザから直接ダウンロードできるため、サードパーティのアプリストアからのインストールはあまり一般的ではありません。
そんな中、Androidユーザに人気のサードパーティアプリストアが2つ存在します。

1. Aptoide
2. Amazon Appstore

Amazonは、Appleと同じように承認されたアプリのみをストアで提供しているので比較的安全です。一方、Aptoidは信頼性に問題があります。
Aptoideは、アプリアイコンに盾のマークが表示されていることでも分かるようにウイルススキャン機能が搭載されていますが、スキャンされていないアプリも公開されており、ユーザは常に潜在的な脅威にさらされています。Aptoideアプリ自体にマルウェアが含まれている兆候はありませんが、提供するアプリが脅威をもたらす可能性はゼロではありません。

【リスク】

サードパーティアプリストアのアプリの大半はマルウェアには感染しておらず比較的安全かもしれませんが、心配なのはそれらの挙動が招く可能性のある脅威です。サードパーティのアプリストアをサイドローディングするユーザの多くは、そのアプリストアがホストするアプリをインストールする傾向にあります。こういったアプリストアの大半は、提供するアプリの厳格なセキュリティ審査を行なっていないため、デバイスに脆弱性をもたらす可能性があります。
危険度：⭐︎⭐︎⭐︎⭐︎⭐︎

3. ゲーム

カスタマイズされたアプリとサードパーティのアプリストアに続く、サイドローディングのもっとも一般的な理由は、公式のアプリストアで入手できないゲームのインストールです。当社のデータによると、従業員の10％は業務用のデバイスで日常的にゲームをしています。
サイドローディングしなければプレイできないゲームの中でも特に人気なのが、Android向け「Fortnite」です。Epic GamesがGoogle Playストアを回避して自社のウェブサイトでゲームを提供するという決定を下したとき、Jamf（およびその他のセキュリティ専門家たち）は、リスクのある構成の正常化、パロディー作品の普及、ゲーム経由のフィッシング攻撃といった懸念点について声を上げました。
その後まもなくして、GoogleのセキュリティチームによってFortniteのインストーラの脆弱性が発見されました。攻撃者がこれを悪用すれば、デバイス上の他のアプリによってEpic GamesからのFortniteのダウンロード要求が乗っ取られ、マルウェアやスパイウェアなどが人知れずダウンロードされてしまう事態も考えられます。幸いにも、この問題はEpicによって迅速にリリースされたパッチによって修正されました。

【リスク】

業務用デバイスにゲームをインストールすること自体、生産性の低下を招くという点で企業にとって懸念となります。しかしそれだけでなく、ゲームのサイドローティングが招きかねない脅威は企業にとってさらに深刻な問題になり得ます。AppleやGoogleによるアプリの審査が提供しているような追加のセキュリティ対策がない場合、脆弱性や悪意のあるコンテンツが検出を逃れ、デバイスを多くの脅威にさらすことになります。大手ゲーム会社であるEpic Gamesでさえも、自社の看板ゲームのモバイル版リリースについて安全を保証できませんでした。「早期リリース」や改造版、偽の「コンパニオンガイド」なども存在する今、ゲームはハッカーにとって格好の標的となっています。
危険度：⭐︎⭐︎⭐︎⭐︎

4. 無料映画サイト

データ転送速度とモバイルインターネットの普及がここ数年で増加し、映画やテレビ番組の視聴にモバイルデバイスが使用されるようになっています。もはや、テレビを持たず動画の視聴をモバイルデバイスだけで行うユーザも増え、それに伴ってコンテンツを提供するアプリの数も伸びています。
NetflixやAmazon Prime Video（2017年にGoogle Play Storeに正式に追加されるまでは頻繁にサイドローディングされていた）などの正規サービスと並行して、無料で映画が視聴できる数多くのアプリが業務用デバイスに定期的にサイドローディングされています。iOSデバイスでもっと人気のあるアプリはMovieBoxとCotoMovies（旧称Bobby MovieまたはBobby HD）で、2つのうち少なくとも1つが業務用デバイスにインストールされている企業は全体の50％にもおよびます。CotoMoviesはiPhoneをジェイルブレイクせずにサイドローディングできますが、その代わりにデバイスのプロファイル設定を変更する必要があり、これにより攻撃を受けやすくなってしまいます。
残念ながらこのようなアプリには多数の問題があり、その中でももっとも深刻なのが映画の海賊版を提供しているという点です。AppleまたはGoogleによって承認されたアプリではこのような違法行為は認められませんが、サイドローディングされたアプリではそのような保証はありません。
また、動画のストリーミングは特に多くのデータを消費するため、超過料金が発生する可能性もあります。これは、正規のアプリを含むすべてのストリーミングアプリに共通する懸念点ですが、不正なストリーミングアプリの場合、データに関するその他の問題が発生する可能性もあります。例えば、P2PサービスであるMovieboxのようなアプリの場合、ファイルをダウンロードする際にユーザが知らぬ間にそれをアップロードしていることがあります。

【リスク】

無料映画視聴アプリが数多くの問題を抱えているのは明らかです。モバイルセキュリティの観点から言って危険なのはもちろんのこと、データの使用量や生産性の面でも様々な懸念点があります。さらに、こういったアプリで海賊版を視聴することは違法にあたり、企業のデバイスでそのような行為が行われているとなれば大きな問題となります。
危険度：⭐︎⭐︎⭐︎

5. 暗号通貨市場

ここ数年、ビットコインなどの暗号通貨が人気を得ています。一夜にして億万長者になる人が出る一方で、多くの人が「次こそは自分も」と成功を夢見ています。そしてこの状況を悪用しようと企む者が現れ、ただでさえ取引の方法が独特で不安定な暗号通貨のリスクを増大させているという現状があります。
現在、膨大な数の暗号通貨取引アプリが存在し、これはサイドローディングされるアプリのうち5番目に多いカテゴリとなっています。iOSデバイスにもっとも多くサイドローディングされているアプリはBinanceです。
審査を受けていない金融取引アプリは、悪意のある攻撃者にとって非常に価値の高いターゲットです。大量の金融情報がやり取りされるため、攻撃者にとって大きな利益、そして注意を怠ったユーザにとっては多大な個人的損失を生み出す機会が多く存在します。こういったアプリが生み出す脅威には、開発者の怠慢によって見過ごされた脆弱性や、入力された個人情報を盗むための偽アプリなど、様々なものがあります。
もうひとつ懸念されているのがKucoinというアプリです。Kucoinは、Google Play Storeを通して入手できますが、App Storeでは取り扱いがありません。サイドローティングにより利用可能なiOS版は、「Meridian Medical Network Corp.」によって開発されており、プロファイルをインストールすることが求められます。このような珍しい要件は、典型的な警告サインです。さらに、Kucoinアプリの偽アプリが少なくとも1つ存在していることがわかっています。

【リスク】

もっともサイドローディングされている他のアプリと同様に、個々のアプリのセキュリティが可視化されていないことに関係した固有のリスクがあります。意図しない悪用が暴かれたり、ユーザがうっかり悪意のあるアプリをインストールしたりして、個人が金銭的損害のリスクにさらされることもあります。
危険度：⭐︎⭐︎（組織）⭐︎⭐︎⭐︎⭐︎（エンドユーザ）

その他の例

ここまで、もっとも頻繁にサイドローディングされている5つのアプリのカテゴリをご紹介しましたが、他にもデバイスのアクセス権限昇格を求めたり、GoogleとAppleがそれぞれのアプリストアで設けているポリシーを回避したりするためにインストールされるアプリは多数存在します。ルーティング支援、アダルトコンテンツ、さらにPDFリーダーにさえも悪意のあるコンテンツが含まれていることが分かっており、それらがサイドローディングされた場合、安全性の保証は難しくなります。これは、完全なモバイルセキュリティを確保するために、しっかりとした監視と可視化がいかに重要かということを物語っています。

対策

EMMソリューションをご利用の場合は、インストールされているすべてのApp IDを確認できます。まずは、この記事で紹介したアプリのApp ID（以下に記載）が含まれていないか確認しましょう。
次に、組織のすべてのエンドポイントで脅威を継続的に監視・阻止できるセキュリティソリューションへの投資をご検討ください。サイドローディングされたアプリに関しては、デバイス上の危険な設定（確認されていないソースからのダウンロードやジェイルブレイクの許可など）にフラグを立て、不要と判断したアプリをブロックし、データ流出などの危険なアクティビティが検出されたアプリについて通知してくれるソリューションを選ぶと良いでしょう。
モバイルへの脅威から組織を保護する方法について興味がある方は、当社のエキスパートまで今すぐお問い合わせください。

サードパーティのアプリストア

Tutuapp

iOS: com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt

ゲーム

Fortnite Installer
Android: Com.epicgames.portal

無料映画アプリ

Movie Box
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

暗号通貨取引

Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS: Com.koins.nb, com.kucoin.KuCoin.App