Apple Developer Enterprise Program 規約違反による処罰例(H.I.S.モバイル「変なSIM」アプリ)

H.I.S. モバイルが開始した「変なSIM」というサービスでは、サービス利用に必要な iOS アプリを App Store を経由せずに自社サイトから不特定多数のユーザーへ配布していました。Andorid でも Google Play を経由せずにアプリを配布することがありますが、iOS においてはこのようなアプリ配布は重大な規約違反となります。

同アプリは既に削除されていますが、この件と類似した事例は過去にも何度か発生していました。

この記事では H.I.S.モバイルが行なった規約違反と、App Store 以外からアプリをインストールするという行為の危険性について解説します。

「変なSIM」アプリの配布方法

今回、問題となった「変なSIM」アプリは App Store ではなく、H.I.S.モバイルのサイトから配布されていました。 現在は削除されていますが、公開当時は以下のような画面が用意されていました。

f:id:watanabetoshinori:20180908030652p:plain:w240

ページ中部にあるリンクを押下するとダウンロードページに移動します。

f:id:watanabetoshinori:20180908030908p:plain:w240

ダウンロードページにはアプリをインストールする手順が記載されています。

f:id:watanabetoshinori:20180908031319p:plain:w240

f:id:watanabetoshinori:20180908031427p:plain:w240

ページ最下部のボタンをタップするとダウンロードが開始されます。

f:id:watanabetoshinori:20180908031544p:plain:w240

ダウンロード開始時に表示されるダイアログです。OTAなどを使用してアプリをインストールした経験のある方には見覚えのあるダイアログだと思います。

f:id:watanabetoshinori:20180908031745p:plain:w240

アプリをインストールした後は、ダウンロードページに記載されていた手順に従い H.I.S. モバイルの証明書を「信頼」する必要があります。

同様の手順は Apple のサイトにも社内専用の iOS アプリをインストールする方法として記載されています。

support.apple.com

これらの記載された手順などから、配布されていたアプリは Apple Developer Enterprise Program によって作成された社内専用アプリであることが分かります。

Apple Developer Enterprise Program とは

iOS 向けのアプリを配布しようとした場合、Apple と開発者契約を締結する必要があります。 開発者契約には2種類あります。

  • Apple Developer Program
  • Apple Developer Enterprise Program

個人開発者や企業が App Store 経由でアプリを配布したい場合に契約するのが Apple Developer Program になります。 この契約では、App Store にアプリを登録することで不特定多数のユーザーにアプリを配布することができます。

企業が社内専用アプリを配布したい場合に契約するのが Apple Developer Enterprise Program になります。この契約では、社内専用アプリを作成して、組織内へ配布することができます。

社内専用アプリは、端末登録等が不要で、あらゆる端末へインストールすることが可能です。 そのため Apple Developer Enterprise Program の利用規約において、組織外のユーザーへの配布が固く禁止されています。

H.I.S.モバイルの犯した規約違反

H.I.Sモバイルの「変なSIM」アプリは Apple Developer Enterprise Program で作成された社内専用アプリを組織外のユーザーに対して配布するという典型的な違反事例でした。

過去にも同様の事例がありましたが、このような行為は重大な利用規約違反となるため、Apple によりアプリが不正なものと扱われます。こうなると、新しくアプリをインストールすることも、既にインストール済みのアプリを起動することもできなくなります。*1

なお、Apple は不正行為に対する処罰を公表しないため、今回のアプリ削除が Apple による強制的なものか H.I.S. モバイルによる自主的なものかは分かりません。

以下は、削除以前にダウンロードしておいた「変なSIM」アプリのipaファイルに対してステータスを確認した際の出力内容です。 アプリの証明書が無効化 (CSSMERR_TP_CERT_REVOKED) されていることが分かります。

$codesign -dv Payload/StrangeSIM_PRD.app/
Executable=Payload/StrangeSIM_PRD.app/StrangeSIM_PRD
Identifier=com.his-j.shop.wallet
Format=app bundle with Mach-O universal (armv7 arm64)
CodeDirectory v=20400 size=5657 flags=0x0(none) hashes=168+5 location=embedded
Signature size=4779
Info.plist=not bound
TeamIdentifier=U55C6973Z4
Sealed Resources version=2 rules=13 files=308
Internal requirements count=1 size=180

$ spctl -a Payload/StrangeSIM_PRD.app/
Payload/StrangeSIM_PRD.app/: CSSMERR_TP_CERT_REVOKED

「野良」アプリの危険性

このようなアプリ提供は利用するユーザーにとっても危険なものであるといえます。

通常、ユーザーは App Store からアプリを取得します。 App Store のアプリは全て Apple による審査を受け、Apple が許諾したものになります。 端末に悪影響を与えたり、Apple が許可していない機能を使用しているアプリは審査を通過することができません。 あらゆるセキュリティリスクを排除できている訳ではありませんが、この審査という仕組みが一定の安全性を担保する役割を担っています。

一方、「変なSIM」アプリのように App Store 以外で配布されているアプリは、Apple の審査を全く受けていません。 このようなアプリを利用することでプライバシー情報が漏洩したり、最悪のケースでは端末自体が破損する可能性もあります。

Android でも Google Play を介さない、いわゆる「野良アプリ」をインストールさせようとする企業がたまに見受けられます。 iOS における「野良アプリ」はそれ自体が規約違反に該当するため、Android よりもイレギュラーなものになっています。 そのようなイレギュラーな方法で配布されているアプリに対して安全性を求めるのはそもそも間違いです。

また、今回のアプリは海外用の SIM を操作するために必要となるアプリでした。 アプリが不正なものとされると起動できなくなってしまうため、もしもこの SIM を使用して海外に渡航されている方がいた場合は現地での通信手段を失ってしまう恐れもありました。安易な「野良アプリ」の提供は、ユーザーの身体を危険にさらす可能性すらあるということです。

まとめ

H.I.S. モバイルは App Store を迂回して自社サイトで iOS アプリを配布していましたが、それは Apple Developer Enterprise Program の利用規約に違反した行為だったためアプリは削除されました。App Store や Apple の審査が自社のサービスにとって不都合だったとしても、イレギュラーな方法でアプリを配布するべきではありませんし、ユーザーに App Store 以外からアプリをインストールさせてはいけません。

今後 H.I.S. モバイルがどのような対応を取るのかは不明ですが、App Store など適切な方法でアプリの配布が再開されることを期待しています。

蛇足.1

ジャーナリストの方が同アプリを利用した体験談を記事にされていました。

貼り付けが終わったら、アプリをダウンロード。今回はiPhone Xで利用してみましたが、アプリはApp Storeからではなく、H.I.S.モバイルのWebサイトからダウンロードする点には注意が必要です。また、アプリはApp Storeを回避するため、エンタープライズ用のアプリとしてダウンロードされます。

H.I.S.モバイルの「変なSIM」をドイツ・ベルリンで試したらちょっとしたトラブルが:週刊モバイル通信 石野純也 - Engadget 日本版

モバイルに精通されている方なのであれば、この配布方法が問題であることは明白だと思うのですが、記事においてそのような視点が欠けていたことは残念に思います。

蛇足.2

この件について日本の Apple Support に問い合わせたところ、彼らもほとんど規約を理解していないということが判明しました。

以下は実際に Apple Support から受けたメッセージです。

  • (「変なSIM」のURLを伝えて)拝見させていただいたところ問題はない業者ですね*2
  • WEBから入手するアプリも複数あるのが正直なところ
  • 私も App Store で扱っていないソフト等を入手したことは何度かございます
  • (「変なSIM」のURLを伝えて)問題のサイトからアプリをダウンロードして確かめましたが、Apple の規約違反に該当する点はありませんでした
  • (配布されているアプリが社内専用アプリであるという指摘に対し)弊社のエンジニアに確認したところ、Web サイトからダウンロードする際にはそのように見えるということでした
  • 例えば、Apple の審査が長引いているので先に配布したり、何らかの事情で App Store に提出できない場合に、このように配布している会社様もあります
  • ADEP で署名された社内専用アプリを、Web サイトから組織外の不特定多数のユーザーに対して配布してもADEP の規約違反にはなりません*3

最初に電話口で担当して頂いた方だけでなく、代わってもらった「スペシャリスト」という肩書きの方ですらこのような認識でいるため全く話になりません。

*1: Support - Certificates - Expired or Revoked Certificates : "Users will no longer be able to run apps that have been signed with this certificate."

*2:アプリをインストールしても「金銭を要求されたりすることはなさそう」という程度の意味らしい。

*3:この方はスペシャリストではありましたが規約の担当ではなかったため、誤った解釈をしてしまったのは仕方のない面もあります。後ほど別の方と行なったやりとりにて、この解釈が誤りであることは確認済みです。