12月施行の｢スマホ新法｣意外な落とし穴､セキュリティリスクは外部ストア解禁による危険アプリ問題だけじゃない！押さえておくべき対策を解説

まず、開発者の経験不足による技術的な不備です。決済システムは非常に複雑で、クレジットカードの会員情報の保護を目的に定められた国際的なセキュリティ基準「PCI DSS」への準拠のほか、3Dセキュアや暗号化処理など、高度なセキュリティ知識が必要です。

これまでAppleやGoogleが厳格に管理していた決済処理を、十分な経験のない開発者が手がけると、アプリに不正なコードを注入する攻撃「SQLインジェクション」やAPIキーの漏洩など、基本的な脆弱性を見落としやすくなります。

さらに重要な問題は、不正利用が発生した際のアフターケア体制です。私自身もクレジットカードを不正利用されたことがありますが、サービスプロバイダーから直ちに事実確認の連絡があり、カードの利用停止と新規カード発行が迅速に行われました。その後、不正利用分の全額が返金され、一切の負担を負うことなく問題が解決しました。

こうした24時間365日の監視体制、不正検知システム、被害者への迅速な対応、損害補償、そして確実な返金処理といったサポート体制は、大手決済事業者だからこそ可能なものです。

小規模事業者や個人の開発者では、不正利用の早期発見はもちろん、被害が発生した際の適切な対応や損害補償、返金処理を提供するのは現実的に困難でしょう。結果として、利用者が泣き寝入りするリスクが高まることが懸念されます。

｢任意ブラウザ｣に潜むセキュリティリスク

もう1つ、スマホ新法の重要な変化として見落とされがちなのが、デフォルトブラウザの自由な選択です。

これまでiOSではSafari、AndroidではChromeが標準ブラウザでしたが、今後は任意のブラウザをデフォルトに設定できるようになります。

SafariやChromeは膨大な開発予算により、フィッシングサイトの検出や有害サイトのブロック、セキュリティパッチの自動配信などが充実していますが、マイナーブラウザでは、これらのセキュリティ機能が不十分な場合があります。