アプリ開発者から見た「Appleでサインイン」の問題点とは？

家族と買い物リストを共有するアプリ「AnyList」の創業者であるジェフ・ハンターCEOが、Apple IDでさまざまなアプリやサービスにログインできる「Appleでサインイン」の問題点を指摘しています。

Why AnyList Won’t Be Supporting Sign In with Apple - AnyList Blog
https://blog.anylist.com/2020/06/sign-in-with-apple/

Appleは2020年3月26日に、Apple StoreにおけるiOS 13 SDKの対応期限を6月30日に定めたことを発表しました。その中でAppleは、アプリをApple Storeに登録する上で順守しなければならない要件として「Appleでサインイン」に対応することを求めています。このため、Apple Storeでアプリを配信している開発者は、「Appleでサインイン」に対応するか、またはアプリの仕様を大きく変更することを迫られました。

買い物リスト共有アプリ「AnyList」を提供しているハンター氏は、6月29日に公式ブログを更新し、「『Appleでサインイン』のメリットを検討した結果、これをサポートしないことにしました。この決定は、一部のユーザーの困惑を招く可能性があることを理解しているため、決定の理由を詳しくご説明します」と発表しました。

ハンター氏によると、「Appleでサインイン」に限らず他社のサービスを経由したログインシステムは、登録したメールアドレスやパスワードを忘れてしまったユーザーへの対応が複雑になるため、多くのカスタマーサポートにとって頭痛の種となるとのこと。しかし、「Appleでサインイン」には他のログインシステムにはない固有の問題があると、ハンター氏は指摘しています。

問題の1つは、「Apple IDがiCloudサービスのメールアドレスと紐付けられていること」です。このため、多くのユーザーはiCloudのメールアドレスを使って「Appleでサインイン」を利用することになるほか、サービス側からユーザーへの連絡にもiCloudのメールアドレスが使用されます。

しかし、ユーザーの大半はGmailやYahooなどのメールサービスを日常的に使用しており、iCloudのメールを定期的にチェックしていません。これが原因で、AnyListでは「カスタマーサポートに連絡してきたユーザーへの返信にユーザーが気付かず、腹を立てたユーザーが何回も問い合わせを送ってくる」ということが日常化していたそうです。

もう1つの問題は、「メールを非公開」にする機能があることです。これは、自分のメールアドレスの代わりに、Appleがランダムな文字列で生成した一意のメールアドレスでアカウントを作成することができるというプライバシー対策の機能です。

「メールを非公開」にすると、サービス側に自分のメールアドレスを教えずにサービスを利用することができますが、代わりにユーザーはカスタマーサポートに問い合わせをする際などに、Appleが生成したランダムな文字列のメールアドレスを調べておかなくてはならなくなります。

この問題は、AnyListのようにアカウント名を使用して他の人と情報を共有するサービスでは、特に大きな障害となります。家族やパートナーのメールアドレスを知っている人でも、自動生成されたランダムな文字列を把握していることはほとんどないからです。

ほかにも、「Appleでサインイン」を利用すると、開発者がシステム上でユーザーアカウント情報の処理をするのが非常に煩雑になるという問題があるほか、「Appleでサインイン」にはアカウントを乗っ取ることが可能になる重大な欠陥も報告されています。

2020年4月に発見されたこの問題の詳細については、以下の記事を読むとよく分かります。

Appleの認証システム「Sign In with Apple」にウェブサイトやアプリを乗っ取られる脆弱性、発見者はAppleから1000万円超の報奨金を受け取る - GIGAZINE

こうした点から、ハンター氏は「Appleでサインイン」について、「深刻なセキュリティリスクが露呈するほど未熟なシステムを利用することは、賢明とはいえないかもしれません」と述べました。