ハクソク

世界を動かす技術を、日本語で。

iOSが日本で代替ブラウザエンジンを許可

144日前原文(developer.apple.com)

概要

  • iOS 26.2以降、日本国内の特定アプリで WebKit以外のブラウザエンジン利用 が可能に
  • 対象は 専用ブラウザアプリ組み込みブラウザエンジン提供アプリ
  • Appleの認可厳格なセキュリティ・プライバシー要件 が必須
  • 技術要件・テスト通過率・脆弱性対応 など多数の条件
  • 開発者向けエンタイトルメント申請 が必要

iOS 26.2におけるWebKit以外のブラウザエンジン利用解禁

  • iOS 26.2以降、日本国内ユーザー向けにWebKit以外のブラウザエンジン利用が解禁
  • 対象アプリは
    • 専用ブラウザアプリ (フル機能のWebブラウザ体験を提供)
    • ブラウザエンジン運営者によるアプリ (組み込みブラウザ体験を提供)
  • Appleが認めた開発者 のみシステム機能へアクセス可能
    • Just-in-timeコンパイル、マルチプロセス対応など
  • セキュリティ上の高リスク を考慮し、厳格な基準を満たす開発者のみ認可
  • 迅速なセキュリティアップデート や継続的なプライバシー保護の義務

Web Browser Engine Entitlement(専用ブラウザアプリ向け)

  • Web Browser Engine Entitlement の取得で、独自ブラウザエンジン利用が可能

  • 対象アプリ要件

    • 日本国内iOS限定配信(Appleが認めた例外を除く)
    • システム提供WebKitブラウザと 別バイナリ
    • Default Browser Entitlement の取得

  • 機能要件

    • 業界標準テストスイートでの高い合格率
      • Web Platform Tests:90%以上
      • Test262:80%以上
      • JIT非利用時(Lockdown Mode等)も同等要件

  • セキュリティ要件

    • 安全な開発プロセス(サプライチェーン監視、脅威モデリング等)
    • 公開された 脆弱性報告ポリシーURL の提示
    • 30日以内の脆弱性修正対応 (単純なケース)
    • 修正済み脆弱性を明示する 公開Webページ
    • 独自ルート証明書利用時は CA/Bフォーラム参加 必須
    • TLS等の最新通信暗号化技術 サポート

  • プログラムセキュリティ要件

    • メモリ安全性の高い言語 や機能の利用
    • Pointer Authentication Codes(PAC) 等の最新セキュリティ対策
    • プロセス分離IPC検証 の実装
    • サードパーティ依存関係の脆弱性監視・更新
    • サポート終了ライブラリの不使用
    • 脆弱性修正を 新機能開発より優先
    • Web API脆弱性指摘時は 即時サポート停止 義務

  • プライバシー要件

    • サードパーティCookieのデフォルトブロック (明示的同意時のみ許可)
    • ストレージや状態のトップレベルサイト単位分離 またはクロスサイト利用禁止
    • アプリ間Cookie同期禁止 (ユーザー明示同意時のみ例外)
    • デバイス識別子のWebサイト提供禁止 (明示的同意・ユーザー操作時のみ許可)
    • App Privacy Report用API活用による通信ラベリング
    • Web API利用時の ユーザー同意・アクティベーション基準 遵守

Embedded Browser Engine Entitlement(組み込みブラウザエンジン向け)

  • Embedded Browser Engine Entitlement 取得で、アプリ内組み込みブラウザに独自エンジン利用可能
  • 組み込みブラウザ の定義
    • Webブラウザアプリで閲覧可能なWebコンテンツをアプリ内で動的表示
    • アプリ独自コンテンツの単純表示は対象外
  • UI要件
    • 画面の大部分をWeb表示が占める
    • 既定ブラウザで開くボタン/リンク の設置
    • 表示中の ドメイン/URL明示
  • 申請要件
    • Browser engine steward (独自エンジンの運営責任者)であること
      • 独立したWebブラウザエンジンの管理・運用責任
      • 他エンジンと明確に異なるアーキテクチャ・Web API対応
  • アプリ要件
    • 日本国内iOS限定配信(Appleが認めた例外を除く)
    • エンタイトルメントは 組み込みブラウザ用途限定
    • Default Browser Entitlement は取得不可
  • 機能要件
    • Web Platform Tests:90%以上
    • Test262:80%以上
    • JIT非利用時も同等要件
  • セキュリティ要件
    • 安全な開発プロセス
    • 脆弱性報告ポリシーURL の公開
    • 30日以内の脆弱性修正
    • 修正済み脆弱性一覧の公開
    • 独自ルート証明書利用時は CA/Bフォーラム参加
    • TLS等の最新暗号化技術 サポート
  • プログラムセキュリティ要件
    • メモリ安全性の高い言語 や機能の利用
    • 最新セキュリティ対策の採用
    • セキュア設計・コーディング慣行
    • サードパーティ依存関係の脆弱性監視・更新

まとめ

  • 日本市場限定 でWebKit以外のブラウザエンジン利用が実現
  • Appleの厳格な認可・要件遵守 が前提
  • セキュリティ・プライバシー・技術水準 が徹底的に求められる
  • 開発者はエンタイトルメント申請と継続的な運用管理 が必須

Hackerたちの意見

日本にとって新しいことではないのは分かってるけど、この要件が気になった:> 「ウェブコンテンツを処理するすべてのコードに対して、代替ウェブブラウザエンジン内でメモリ安全なプログラミング言語や、他の言語内でメモリ安全性を向上させる機能を使用すること」 これって、Apple自体はこの要件を満たすのかな?WebKitってC++だよね?「他の言語内でメモリ安全性を向上させる機能」って何を指すのか、ちょっと曖昧だな。

https://github.com/WebKit/WebKit/wiki/Safer-CPP-Guidelines

「AppleがWebKitをSwiftで作られた何かに置き換えるか、徐々にブラウザエンジンをSwiftに変え始めるまで、どのくらいかかるんだろう。」

なんで日本だけなの?何か日本で強制された感じがする。

うん、新しい日本の法律がそれを強制してるみたい。

EUと日本にあるから、基本的にAppleの反競争的なやり方に反発している地域ってことだね。

アメリカの司法省は、iOSで自社のSafariブラウザ以外のブラウザエンジンをブロックしていることを含め、Appleを反トラスト訴訟で訴えようとしてたんだ。誰が知ってるか分からないけど、"Tim Apple"が今のリーダーに意味のない金のトロフィーを渡したから、これが実際に進展するかどうかは不明だね。

毎日Hacker Newsをチェックしてる読者にとっては、これは新しいニュースじゃないよね: • (4年前) 日本がAppleに「リーダー」アプリの制限を少し緩めさせる — • (3年前) 日本がAppleとGoogleにサイドロードを許可させるよう推進 — • (3年前) 日本がAppleとGoogleのアプリストアを競争に開放する — • (3年前) 日本がAppleとGoogleに支配された電話アプリを競争に開放する — • (3年前) Apple Japanが免税の不正利用で9800万ドルの追徴課税を受ける — • (2年前) 日本がAppleとGoogleのアプリストアの独占を取り締まる — • (2年前) 日本がAppleとGoogleにモバイルプラットフォームを開放させる — • (2年前) 日本がAppleとGoogleのアプリの支配を抑制する法律を施行 — • (5ヶ月前) 日本:Appleは12月までにブラウザエンジン禁止を解除しなければならない — • (5ヶ月前) 日本の法律がAppleにiPhoneで非WebKitブラウザを許可させることになる — • (15日前) Appleが日本のiOSに変更を発表 — • (14日前) AppleとGoogleが新しい日本のスマートフォン法に応じて、アプリ料金を引き下げる — … もっと詳しくはここで:

2026年は、テクノロジーに詳しい人たちがApple(とGoogle)を完全に見限って、無料のAndroid OS(GrapheneやLineage、他のいくつかのバリエーション)かLinuxフォンに切り替える年になるべきだと思う。今のところ、AppleとGoogleのデバイスは、強制と監視の道具に過ぎない。

残念ながら、スマホとノートパソコンの深い統合が好きすぎて、どちらも手放せないんだよね。

GrapheneのUXは、個人的にはiOSに比べてかなり悪いと思う。

2026年は、技術に詳しい人がGoogleやAppleが連邦政府の手先だと気づく最後の年になるべきだね。2027年や2028年に切り替えるつもりなら、もう遅いかも。

これは、特定の運動に熱心なメンバーじゃないほとんどの人がどうやって生活しているかに対して、まったくズレてる。

講義や注意喚起じゃ何も変わらないよ。人々は自分にとって良い方に行くから、グラフェンやLinuxに移行するんじゃないかな。強制や監視の問題は、ほとんどの人が個人デバイスに対して持ってる不満のリストではかなり下の方だし。

2026年は、すべてのテクノロジーに詳しい人がApple(とGoogle)を完全に見限る年になるべきだ。なんで?俺はかなりテクノロジーに詳しいけど、代替ブラウザエンジンをスマホで使うことには全然興味ないんだけど。俺は「間違ってる」って思う?

「テクノロジーに詳しい人たちがAppleを捨てさせても、ほとんどの人が使っているものには何の影響もないよ。例えば、俺はKoboリーダーで結構いいcalibre-webの自動セットアップをやってるんだけど、Koboのストアを変更して、選んだ棚のシームレスな同期もできてる。でも、妻にそのセットアップをAmazon Kindleより選ばせるのは本当に大変。ちょっとでも問題が起きると、普通の人たち(ごめんね、妻)ってすぐに興味を失っちゃうんだよね。」

「iPhoneが大規模監視の道具だってどういうことか、詳しく教えてくれない?」

「残念だけど、俺はスムーズなアニメーションが好きなんだよね。」

これって、iOSでuBlock Originをサポートした「本物の」Firefoxがやっと来るってこと?

Appleは法律の文面には(ほぼ)従うけど、できる限り強く抵抗し続けるだろうね。厳しい要件、恣意的な制限、過剰な執行、そして何よりも限られた機能の悪いAPI、バグの回避策もなし。iOSで良いブラウザエンジンを出すには、開発者だけじゃ足りないよ。Appleに対してポリシーの緩和やAPIの修正を求めるために、弁護士チームも必要になる。MozillaやGoogleが、日本市場のためだけに、全機能を完全に移植して適切に維持するために、何年もかけて開発者や弁護士を使うとは思えない。趣味レベルのポートは見るかもしれないけど、長期間使う価値のあるものは期待できないね。他の国が追随しない限り。

EUではもう少し前に起こってもおかしくなかったから、FirefoxやGoogleが自分たちのエンジンを出さない理由があるんだろうね(まだ?)。

uBO liteは、iOS/Safariで結構うまく動いてるよ。

多分無理だろうね、少なくともMozilla自身からは。彼らは厳しい要件や、地域ごとに異なるアプリを維持する難しさを挙げてるよ。

参考までに。iOS SafariはすでにuBlock Origin Liteをサポートしてるよ。iOS Firefoxもいつでも同じことができるけど、すでにいくつかのトラッキングやコンテンツブロックが内蔵されてるからね。

「たぶん無理だね。EUでは以前にAppleデバイスに同じルールが適用されたけど、サードパーティのブラウザエンジンは出てこなかったから。でも今はSafariでuBlock Origin Liteが使えるよ。他にもたくさんの広告ブロッカーがあるし。」

日本やEUが制定した法律に期待してたのは、企業がその流れを読み取って、コストの理由でも世界中でやり方を変えるんじゃないかってことだったんだよね(複数のルールを維持するのは高くつくはずだから)。でも、今やこれらの企業は大きすぎて、国ごとに非効率を吸収することを選べるようになってる。

Appleがやってることには反競争的な動機があるものも多いけど、ブラウザエンジンに関してはそうじゃない気がする。これは本当にセキュリティやバッテリー寿命、標準化のためなんだよね。だから、最初からコストが理由じゃなかったら、コストが変える理由になることはないと思う。

ハードウェアレベルではうまくいってるみたいだけど、ソフトウェア的にはダメだね。例えば、iPhoneのUSB-C。EEAはWindows 11でスタート検索を無効にできるけど、RoWはできないんだ。面白いことに、EEAのメンバーシップはインストール時に選択によって決まって、その後は変更できない。iPhoneは、位置情報をチェックするデーモンが動いてるから、電話を設定した場所に基づいてないんだよ。だから、ヨーロッパから他の場所に旅行すると、代替ストアで入手したアプリの更新ができなくなることもあるよね。

「もし法律が企業に、トラッキング透明性のポップアップみたいな機能を製品から取り除くことを義務付けたら、どう思う? すでに二つの国の裁判所が、Appleが第三者アプリのトラッキングについて警告するポップアップを強制したことで罰金を科したんだけど(Apple自身はその機能を使ってないのに)。」

アメリカでこれがまだできないのはひどいね。EUと日本のために実装するコストはもう払ってるのに、アメリカのユーザーには単に... 意地でも許可しないって感じ?最悪だよ。オンライン学習サイト(Udacityかも?)からアカウント削除をお願いしたときのことを思い出す。「いいえ、私たちはそれをヨーロッパのユーザーにしかやりません」と返事が来たんだ。データ削除の方法をちゃんと実装するために努力したのに、地理的な理由でやらないっていうのがね。

「アメリカでまだこれが手に入らないなんて、ひどいよね。正直言うと、Appleが意図的にこうしてるんじゃないかと思う。自社のAppストアと比べて、代替案を物流的にも法的にも面倒にしてるんだよね。国ごとにルールが違ったり、手数料の構造が異なったりして、Appleは代替案をできるだけ不便で苦痛なものにしてる。アメリカでこれらの機能が使えないのもわざとで、iOSでの「代替案」のアイデアをAppストアを使うよりもめちゃくちゃ不便にしてるんだ。」

別バイナリの要件があるから、完全に死産だね。つまり、まだ法律を破ってる。故意に。ブラウザが代替エンジンを採用する可能性を低くする行動を禁止してるし、同じ開発者の他のアプリとログイン状態を共有しないことを義務付けてるけど、自分たちはそれを違反してる(Safariの同期はデフォルトでオン、暗号化もデフォルトではなし)。面白いよね。それに、サードパーティのクッキーをブロックすることを義務付けてるけど、OSが強制するのは完全に不適切。最も笑えるのは、>「報告された脆弱性の解決を迅速に優先する[...] ほとんどの脆弱性は30日以内に解決されるべきだけど、もっと複雑なものもあって、時間がかかることもある。」Appleはこれに従ってない。

じゃあ、沖ノ鳥島、竹島、尖閣諸島の人たちはその代替ブラウザを使えるの?

本当にがっかりだよ。こんなクズみたいな対応じゃなくて、ちゃんとした消費者保護法を整備してほしい。ユーザーがメーカーの許可なしに自分のコンピュータにソフトウェアをインストールできるようにすればいいのに、なんでブラウザや「アプリストア」にこだわるの?

資本主義だからね。

Appleがまだ諦めて世界中でオープンにしないなんて、意外だよね。どこかの国では比較的オープンにシステムを運用して、別の国では壁を作るのが混乱して問題になるのは時間の問題だと思う。

FeatureToggles.swift

これだよ。計算だもん。計算は地政学的な境界を「理解」するわけじゃない。世界のいろんな地域での「ストア」の提供内容の差がどんどん増えていくのにうんざりだよ。毎月更新をかけるたびに、世界のいろんな地域に関する質問や申告に答えなきゃいけない。

同じシステムを比較的オープンに運用するのが混乱して問題になるのは時間の問題だ。利益が出る限り、彼らはそうし続けるよ。複数の法域の複雑さをナビゲートするのが多国籍企業の主な仕事だからね。それが多国籍クラブへの入場料ってわけ。Appleは、このタスクのためにすでに弁護士や管理者、役員を雇ってるのは確実だよ。

「俺もずっと同じことを思ってた。技術的なハードルはあまりないはずなのに、エンジニアリングの才能はあるからね。でも、地域ごとのルールを把握して、スタッフや顧客にそれを教えるのは、時間やエネルギー、メンタルモデルなど、いろんな面でかなりコストがかかると思う。個人的には、ブラウザエンジンをロックダウンすることは、アプリストアを完全に管理することに比べて、あまり利益を生まないんじゃないかな。」

「いいね。早くFirefoxを正規のuBlock Originで動かせるようになりたいな。」