アカウント、プロモーション、およびコンテンツの保護

こんにちは Katherine Nepoです 私は App Storeの Trust and Safetyチームの Program Managerです このビデオでは 私と同僚の Jeremy Stoberが アカウントやプロモーション コンテンツを保護する方法を 紹介します 本日は 信頼と 安心のためのデザインの 重要性について説明し Appとユーザーを 攻撃から守るために使用できる 一連のツールを紹介します Jeremyが アカウントの リスクとプロモーションの 悪用について説明します 　　　　　　　　　　　 最後に私からコンテンツリスクを お話します Appleのプラットフォームは ユーザーにとって信頼できる 安全で公正な体験を提供し あなたのビジネスの 成長と繁栄を支援するために 設計されています ここでは 「Appleでサインイン」 がどのようにして 2ファクタ認証のシンプルさと安全性を Appに提供するかを確認します その後 DeviceCheckと App Attestを使って プロモーションや オファーを保護し Appの健全性を 守る方法を学びます

ユーザーの興味関心をひく機能は 攻撃者にとっては魅力的である 可能性があります Appにアカウントの生成や 管理機能が含まれていたり ユーザー生成コンテンツを サポートしていたり キャンペーン価格の提供や プレミアムコンテンツが あると 詐欺や不正使用の 対象となる可能性があります Appを公開した後に 起こりうる不正使用には 様々なものがあります ここでは そのうちの３つを 詳しく紹介します

多くのApp体験では ユーザーの資産を守るために アカウントが使われています 攻撃者は アクセス権を 得るために 新たな方法で アカウントを乗っ取り データを盗み出そうとします

Appでプロモーションを 行っている場合 割引を 利用されたり Appや サーバーを操作しようとする 攻撃者に狙われる 可能性があります 攻撃者は チャンスを狙った 個人による場合もあれば 組織だった大規模なものもあります 攻撃者は サーバーから 貴重なコンテンツの取得や 正規のAppを盗んで修正し 見た目を変えてApple Store外で 再販するなど ビジネスに 影響を与えることもあります では Jeremyに代わって アカウントのリスクと ユーザーを守る方法について 話してもらいましょう Katherine ありがとう まず Appのデベロッパとして 知っておくべき アカウントリスクについて お話します

多くのAppやサービスでは アカウントの作成が必要です しかし ユーザーの アカウントを管理することで いくつかの問題が発生します 例えば ユーザーの 大切なアカウントの セキュリティを 他者が 不正にアクセスする 動機があります 自分に責任はないのに 乗っ取られることもあります ユーザーは 巧妙な フィッシング攻撃に さらされたり 無関係なサービスから パスワードが流出したり 誤った信頼の犠牲になったり する可能性があります 国際的共同体である Anti-phishing Working Groupによると メンバーが観測した フィッシング攻撃の 報告数は 2020年の間に 倍増したとのことです ユーザーアカウントは 貴重なものなので 攻撃者に 狙われる可能性があります

アカウントの危険性に加えて 例えば ユーザーの フィードバックをApp内で 使い 評価や推奨システムを 強化している場合 不正利益に使用される 状況を作りだしている 可能性があります よって これらのシステムを 操作するための 偽の アカウントを大量に作成する 誘因となるかもしれません 偽アカウントの作成は インフラに負荷がかかり ユーザー体験が損なわれ 一生懸命つくった App全体の信憑性に 影響を及ぼします

非認証のアカウントが 作成されることで 他の形態の不正行為が起こる ことがあります 例えば ユーザー同士が コミュニケーションできれば 偽アカウントで作った プラットフォーム上で 未承諾の広告を送る 誘因になるかもしれません これは 顧客の満足体験や 企業の評判に悪影響を及ぼす 可能性があります Appleは デベロッパが アカウントのリスクをもっと よく管理するためのツールを いくつか提供しています アカウント管理の多くの 問題を回避する方法として 「Appleでサインイン」を 導入しています 「Appleでサインイン」と 統合することで ユーザーの アカウントを安全に 保つための Appleの堅固で 継続的な取り組みの恩恵を 受けることができます 「Appleでサインイン」は Appleの２ファクタ認証で 保護されています Appleデバイスをお使いの ユーザーは いつでも Face IDやTouch IDで サインインや再認証ができます 「Appleでサインイン」との 統合による恩恵は 安全なだけではありません 初回認証時の クレデンシャルリターンには ユーザーがボットではなく 本物であるということを 高い信頼度で示すフラグが 含まれています

このフラグは 顧客側で 確認できます ユーザーが本物である 可能性を示すフラグがあれば 追加の確認は必要ありません しかし プラットフォームが サポートされておらず リターン値がわからない場合 スクリプトによる不正行為を 防ぐために　ユーザーに 確認することをお勧めします このフラグを提供するために Appleは プライベートでセキュアな オンデバイス機械学習モデルを アカウントアクティビティに基づいた サービス側の推論と 組み合わせて使用しています 「Appleでサインイン」では Appleが誇る世界最高水準の セキュリティと 業界トップの不正防止機能を 利用できます 「Appleでサインイン」を 使用していない場合は セキュリティを向上させて 不正なアカウントの 作成を防ぐために使用できる ツールがいくつかあります ユーザーフリクションを 増やすことなく 強力で唯一のパスワードを 奨励する方法を 説明したビデオが いくつかあります 詳しくは「ワンタップでの アカウントセキュリティの アップグレード」と 「どこにでもAutoFill」を ご覧ください

不正アカウントの作成については Eメールのドメインや サインアップフローに含まれる その他の情報など アカウント作成の リクエストから収集できる データを用いて リスクに 応じた判断を行うことが 予防につながります

戦略の一環として １台のAppleデバイスで 作ることが出来る アカウント数を制限できます 物理的にデバイスでの アカウント作成を 制限することで 大量の偽アカウントの作成が 難しくなります AppleはDeviceCheck というAPIを提供しており これが役に立ちます APIを利用することで 本物のAppleデバイスでの アカウント作成を 効果的に制限できます Appの中で 無料や割引の アイテムを使って販売促進を することもあるでしょう 次に これを悪用した 例についてお話します

ビジネスを成長させるために App内のプロモーションを 提供したいとします Appの種類によっては 無料のサンドイッチや 割引のあるトライアルなど 何でもあります しかし このキャンペーンを 悪用して 何度もAppを 再ダウンロードする人たちが 出てくることもあるので その場合はコストがかかります

DeviceCheck APIを 使用すると ユーザーの プライバシーを保護しながら デバイスごとにオファーの 利用回数を制限できます

このサービスでは 各デバイスに２ビットの情報を 設定できます この情報は デバイスの 真正性と強く結びついており デバイスを完全に リセットした後でも 読み取ることができます

高いレベルでは DeviceCheckの使用で デバイスの実在を確認し 以前に設定された ２つの 許可されたビットの値を 照合できます あなたはビットを 好きなように設定したり 変更することができます 無料キャンペーンの場合は リターンビットの値を 利用して そのデバイスが 過去にキャンペーンの 利用に使われたかどうか 判断することができます また アカウント作成時に デバイスごとのビット数を 設定することもできます この場合 検証済みの ハードウェアに関連した 強固な新しい信号が提供され Appでのアカウント作成を レート制限する際に 使用することができます

一定期間経過後は ビットの リセットを選択できます これにより 管理する期間に プロモーションを 再利用することができ デバイスが変わる状況にも 対応できます

詳細は ビデオの 「Privacy and your apps」と 「App AttestとDeviceCheck による不正行為の抑制」を ご覧ください ここからはKatherineが 認証されていないクライアントから コンテンツやAPIを保護する 方法について説明します Jeremy ありがとう ここでは コンテンツに潜む リスクについて紹介します

あなたのコンテンツは貴重で 攻撃者の格好の標的に なるかもしれません 攻撃者は Appの プレミアムコンテンツへの 無許可利用を可能にする 不正ソフトを開発し ばらまくことができます このような不正なアクセスは 収益に悪影響を与え 不正行為やだます機会を 生み出す可能性があります このような悪用は ユーザーの信頼を損ない 最終的にビジネスに害を 及ぼす可能性があります

あなたのApp体験の 完全性を守るために Appアテストを作成し iOS 14 および tvOS 15 から Appの保護を 提供しています Appアテストは サーバーに接続している Appが Apple Storeで 公開されたAppであり 未変更で 本物のAppleの デバイス上で動作している ことを確認できます

AppleのSecure Enclave プロセッサを利用して iOSおよびtvOSは Appの識別を示す 暗号認証を生成し 重要な アセットを利用可能にする前に サーバーに送信して検証を 受けることができます Appアテストは 使いやすく Appとサーバー間の わずかなやり取りだけで コンテンツを要求している Appの身元を確認できます サーバーがどのように 検証を行うかなど Appアテストの詳細は テクニカルビデオの 「App AttestとDeviceCheck による不正行為の抑制」を ご覧ください

本日紹介したツールを使えば Appやユーザー コンテンツを保護することが できます 「Appleでサインイン」の 導入で アカウントを 攻撃者から守り データへの アクセスを回避します DeviceCheckでプロモーション オファーの不正使用を防止します またApp Attestで リクエストを 処理する前に サーバーに 接続するAppの 真正性を検証することで コンテンツを保護します ご視聴ありがとうございました 公正で安全で信頼のある 環境の中で 皆様の ビジネスが発展することを 期待しています [パーカッシブな音楽]