Appleによる「ブラウザ開発者へのWebKit強制」はセキュリティリスクを悪化させているという指摘

Appleはウェブブラウザのレンダリングエンジン「WebKit」の主要な開発者であり、iOS向けのウェブブラウザはWebKitの採用が必須となっています。iOS向けブラウザでWebKit以外のレンダリングエンジンを使えない状況には「ウェブブラウザの将来性を奪っている」という指摘が入っているものの、Appleは「ウェブブラウザにWebKitの採用を求めることは、セキュリティ向上のためだ」と主張していました。新たに、オープンなウェブの推進団体「Open Web Advocacy」が「AppleのWebKit強制は、セキュリティを悪化させている」という主張をTwitterで展開しています。

iOS向けのブラウザでWebKit以外のレンダリングエンジンを使えない状況は、iOS向けに提供されるブラウザの機能低下を招いています。例えばMozillaが開発するFirefoxは、Android版ではブラウザの機能を拡張するアドオンを追加したりプライバシー性能を強化するCookie管理機能を利用したりできますが、iOS版ではどちらの機能も利用不可となっています。上記のような問題が発生していることから、WebKitの強制を続けるAppleの姿勢は「ウェブブラウザの将来性を奪っている」として非難されています。

「AppleのiOSでのWebKit強制はウェブブラウザの将来性を奪うものだ」という主張 - GIGAZINE

一方で、Appleはイギリスの競争・市場庁(CMA)に対して「WebKitはBlinkやGeckoなどのレンダリングエンジンと比べて高いレベルのセキュリティを提供する」「iOS向けのブラウザにWebKitの採用を求めるのは、セキュリティ上の問題を迅速に解決するためである」と述べています。このAppleの主張についてOpen Web Advocacyは複数のデータをもとに反論しています。

以下の円グラフは2014年～2021年に報告されたウェブブラウザの脆弱(ぜいじゃく)性の件数を示しています。最も件数が多いのはSafari(65.5％)で、Firefox(26.2％)やChrome(8.4％)と比べて圧倒的に多くの脆弱性が報告されていることが分かります。

上記の脆弱性発生件数を年ごとに並べたグラフが以下。Safariはほとんどの年で最も多くの脆弱性が報告されています。

そして、以下のグラフは各ブラウザが脆弱性に対する修正パッチを公開するまでにかかった日数を示しています。グラフを確認するとFirefox(黄色)が遅くとも50日でパッチを公開し、Chrome(青)も遅くとも75日でパッチを公開していることが分かります。一方で、Apple(赤)はほとんどのパッチを脆弱性報告から30日後以降に公開しており、90日を過ぎてもパッチを公開されない例があることが分かります。さらに、Safariの更新はOSの更新と紐付けられており、ユーザーがOSを更新するまではパッチが適用されません。このため、ユーザーが修正を受け取るのは以下のグラフよりさらに遅れる可能性があります。

Open Web Advocacyは上記のグラフをもとに、「WebKitの採用はセキュリティの向上に役立たず、むしろ悪化させる」と指摘。さらにCMAが示した「iOS向けウェブブラウザがWebKit以外のレンダリングエンジンを採用した場合でも、セキュリティリスクが悪化する可能性は低い」という分析結果を引用し、「Appleはブラウザの競争力を弱めることで経済的な利益を得ている」と主張しています。