【許せない！】AppStoreで盗難事件発生！公開していたアプリを別事業者が販売！？いったい何が起きたのか？

LINEの乗っ取りなど、不正なアカウント利用による犯罪が後を絶ちませんが、今度は「AppStoreでアプリを盗む」事件が発生しています。

と言っても、有料アプリが不正にダウンロードされたわけではありません。
公開していたアプリが、ある日突然、他のメーカーのアプリとして公開されてしまったそうなんです。

URLも、ユーザも、AppStoreのスクリーンショットまで、なにからなにまで「盗まれて」しまったこの事件。
いったいなにが起きたのでしょうか。

 アプリが不正に「譲渡」されてしまった

盗難にあったのは対戦カードゲーム『PLOELIUM』。
原作者のakira nagaoka（@ngokakr）さんのTwitterによると、ある日突然「The app transfer is complete.（アプリの転送が完了しました）」というメールが届き...。

まとめ 金に目がくらんだ一人の闇の開発者によって我輩の開発者アカウントに無断侵入し、開発に半年近くもかかった我輩のメインアプリを強奪された。 アプリの強奪はものの数分で行われた。私が気付き駆けつけた時には時既に遅し。 もう我が子の姿はなかった。 私の施錠が甘過ぎたのであった。

-- akira nagaoka (@ngokakr) 2014, 8月 4

AppStoreで販売するアプリを管理するiTunes Connectのアカウントに不正にアクセスされ、その上『PLOELIUM』について「アプリの譲渡（Transfer App）」を実行されてしまったとのこと。
これにより、『PLOELIUM』の所有者が別事業者に移ってしまったそうです。

「アプリの譲渡」とは、AppStoreにアプリを公開した状態のまま、他のデベロッパにアプリの権限を渡すことができる機能。
URLや課金ユーザなどがそのまま引き継がれるため、例えば個人で開発したアプリを企業が買収する、といった場合にスムーズに事業の譲渡が可能になります。

今回の事件はこの譲渡を悪用し、同意が無いままに他人のアプリを乗っ取ったものと見られます。
『PLOELIUM』は現在もAppStoreに公開されていますが、デベロッパは「Leo Lee」という名前になっていました。さらに、また変更されたようで、今はLee Elmanという名前になっています。
また、サポートサイトのリンクも別のものに変更されているようです。

初めに乗っ取った「leo le」というデベロッパについては、他にもオックスフォードやロングマンなどの辞書アプリの「偽物」を配布していることが指摘されています。

→ Oxford、Longman、Cambridge、Collinsなどの有名辞書アプリの偽物(?)に気を付けて | reliphone

この真ん中のアプリの利用が原因だ。 pic.twitter.com/HtSgluSr9P

-- akira nagaoka (@ngokakr) 2014, 8月 5

さらに、iTunes Connectのパスワード流出の原因が判明したようで現在の『PLOELIUM』の開発者となっているLee Elmanが提供しているSales And Trends AppsというiOSアプリの販売管理アプリを利用していたためではないかとのことだ。パスワードを入力するようなアプリは無闇に利用しないように注意が必要そうだ。

『PLOELIUM』には課金アイテムがありますが、課金をすると乗っとり事業者のもとへお金が入るとのこと。
ソースコードも盗まれているので、アップデートで何かしらの仕込みをすることも考えられます。
『PLOELIUM』の課金、新規ダウンロードおよびアップデートについては、しばらく様子を見たほうがよさそうです。

参考：ゲームキャスト