アップルが昨年、App Storeで22億ドル(約3兆円)規模の不正疑い取引を阻止したと21日に明らかにした。過去6年間の累計阻止額は112億ドルを超えた。
阻止の核心は決済ではなく「入口」だった。偽アカウントの作成11億件、問題のあるアプリの承認申請200万件を事前にふるい落とした。
巨大プラットフォームの防御網が緻密になるほど、詐欺はプラットフォームの外、つまりSMSや偽のインストールリンクへと迂回する。
公式マーケット以外の経路でのアプリインストールを遮断し、ファミリー保護機能と決済通知を有効にしておくだけでも、危険のかなりの部分は避けられる。
アップルは20日(現地時間)、昨年App Storeで検知・遮断した不正疑い取引の規模を公表した。金額は22億ドル、韓国ウォンで約3兆円に達する。直近6年間の累計では112億ドル、16兆ウォンを超えた。
数字だけを見ると巨大企業の自己宣伝のようにも読める。だが、この発表を裏返してみると別の図が見えてくる。1年で3兆ウォン分の詐欺の試みが実際に存在したという意味であり、その標的は毎週App Storeを利用する8億5000万人の財布だったということだ。韓国のiPhone利用者もその8億5000万人の中にいる。
◆ 防いだのは決済画面ではなく「入口」だった
発表内容で最も注目すべき点は、遮断が行われた地点だ。アップルが強調した成果は、決済段階で不正カードを捕まえたことにとどまらない。詐欺が始まる前、アカウントとアプリが作られる入口の段階で大半の遮断が行われた。
同社の説明によると、昨年はボットネットワークなどを動員した不正アカウント作成の試み11億件が、最初から無力化された。悪用が確認されたアカウント4040万件はさらに無効化された。
アプリを作成して掲載する開発者側も同様だった。開発者アカウント19万3000件が停止され、13万8000件以上の開発者登録申請が拒否された。
審査段階の数字はさらに具体的だ。昨年レビューされたアプリ承認申請は910万件。このうち200万件以上が差し戻された。新規アプリが120万件、既存アプリのアップデートがおよそ80万件に達する。
利用者をだます誘引型の手法を用いたアプリは5万9000件近く削除され、隠された機能やプライバシー侵害の懸念があるアプリも大量に振るい落とされた。
評価やレビュー領域の操作も是正対象だった。昨年処理された評価・レビューは13億件を超え、そのうち1億9500万件近い偽評価が投稿前に遮断された。利用者が星4.8の評価を信じてアプリをダウンロードするまで、見えない検閲がそれだけ機能していたということだ。
これらすべてを貫く原理は一つだ。詐欺は決済の瞬間に完成するが、その準備はもっと前段で始まる。偽アカウントを作り、詐欺アプリを登録し、星評価を水増しする過程を経る。アップルの防御戦略は、決済画面を守る代わりに、その準備過程を断ち切ることに重きを置いた。事後摘発より事前遮断のほうが、コストも被害も少ないという判断がある。
◆ プラットフォームが強固になるほど、詐欺は「外」へ出る
ここで一歩踏み込むべき問いがある。App Storeの中がこれほど緻密になったなら、詐欺勢力はどこへ移ったのか。
答えは発表資料の中にすでにある。アップルは直近1か月間で、App Storeや承認済みの代替マーケットの外で不正配布されたアプリのインストール・実行の試み290万件を阻止したと明らかにした。海賊版ストアで見つかった偽アプリも2万8000件に達する。正門が塞がれると、詐欺は脇門や裏門へ流れ込んだ跡だ。
この流れは韓国の利用者にとって決して他人事ではない。昨年、国内では宅配配送、健康診断、訃報、大学入試合格通知を装ったSMSが絶えなかった。政府が年末にフィッシング犯罪の注意報を別途出すほど、スミッシングは日常化した。こうしたメッセージに含まれるリンクの行き先は大半が同じだ。公式マーケットを経由しないアプリ、すなわち出所不明のインストールファイルである。
巨大プラットフォームの審査網が強くなるほど、詐欺はその網の届かない領域へ移動する。メッセージ1通、リンク1つ、出所の分からないインストール画面が新たな戦場になる。アップルが阻止した22億ドルの裏側には、プラットフォーム外でなお活動する詐欺勢力という影がある。
◆ 防御網の最後の隙間は利用者の指先だ
では、利用者にできることは何か。結論から言えば、難しいセキュリティ知識が必要な領域ではない。
最も確実な防御線は、インストール経路を公式マーケットに限定することだ。Apple端末は基本的にApp Storeと承認済みマーケット以外のインストールを制限する。この設定をみだりに解除しないだけでも、290万件の不正アプリ実行の試みが狙っていた危険から身を避けられる。Android利用者なら、「不明な提供元のアプリのインストール許可」をオフにしておく習慣が同じ役割を果たす。
SMSに含まれるリンクは、押さないほうが安全だ。合格通知でも宅配の案内でも、確認が必要なら該当機関の公式アプリやサイトで直接照会すればよい。送信者番号やリンクの見た目だけで信頼しないことが、スミッシング時代の基本だ。
決済面も点検対象だ。アップルは昨年、盗難クレジットカード540万枚の不正利用を防いだと発表したが、カード情報が一度流出すれば、プラットフォームの遮断網にも限界が生じる。カード会社の決済通知を有効にしておけば、自分が知らない取引をいち早く把握できる。
子どもがいる家庭なら、アップルが提供する「購入請求」や「スクリーンタイム」などのファミリー保護機能を活用し、無断決済の通路を事前に塞いでおくのが望ましい。
プラットフォームは22億ドル分の詐欺を阻止したが、その防御網にも最後まで届かない1か所が残る。それは、利用者が直接リンクを押し、インストールを許可し、決済を承認する瞬間だ。その最後の1か所を守るのは、システムではなく利用者自身である。
アップルの発表は、巨大プラットフォームがどれほど多くの脅威を防いでいるかを示している。同時に、防ぎきれない領域がどこなのかも明らかにしている。詐欺は消えずに場所を移し、その新たな場所はますます利用者の指先に近づいている。
1年で3兆円という数字が本当に物語っているのは、プラットフォームの成果ではなく、今この瞬間も誰かのスマートフォンを狙う試みが続いているという事実だ。