ロシア銀行アプリがポモドーロタイマーを装い米App Storeで3位に急浮上——制裁回避の偽装が露呈

米App Storeで「Sirius（Cириус）」という見慣れないロシア語のポモドーロタイマーアプリが無料アプリランキング3位に急浮上したと9to5Macが報じています。実態は米国で制裁対象となっているVTB銀行（VTB Bank）のクライアントアプリを偽装したものとされ、記事公開のおよそ2時間後にはApp Storeから削除されたようです。なお本件は、Telegram上の動向やアプリ説明文の翻訳など公開時点で観測された情報に基づくものであり、最終的な事実関係や運営側の対応の詳細は今後の続報で変わる可能性があります。

OpenAIやGoogleと並ぶ位置に突如現れた「Sirius」

米App Storeの無料アプリ上位は、通常 OpenAI・Anthropic・Google といったAIチャットボットアプリが占めています。最近では恋愛リアリティ番組「Love Island」関連の Peacock や Love Island USA 投票アプリ、さらに Threads や Planet Fitness なども上位に入っていました。

そんな中、金曜朝に突如3位に食い込んできたのが「Cириус（Sirius）」という生産性アプリです。アイコンは星図アプリのようなデザインで、アプリ自体は英語に対応しておらずロシア語のみで提供されていました。広告されている目的だけで自然に3位までランキングを駆け上がったとは考えにくく、不自然さが際立つ状況だったと伝えられています。

表向きは「25分集中・5分休憩」のポモドーロタイマー

アプリの説明文（翻訳）を読むと、内容は典型的なポモドーロ手法のタイマーアプリとして構成されています。具体的には、25分の作業と5分の休憩という古典的なタイマーで、健康・お金・キャリア・趣味・自己啓発・休息など幅広い用途に使えるとうたっています。

• タスクリストを作成し1画面で管理
• タスクを選んで標準時間または任意の時間でタイマー開始
• 生産性アナリティクスのモニタリング
• 完了タスクへの写真・ボイスメモ・位置情報の添付
• スマートなレコメンドの取得
• 全タスクと達成履歴の閲覧

説明文の締めくくりには「Sirius は時間管理と集中の維持を助け、宇宙的（cosmic）な成果を実現する」といった趣旨の文言が並んでおり、見た目には何の変哲もない生産性アプリの体裁を取っています。

正体は制裁対象VTB銀行のクライアントアプリ

ところが9to5Macは、Telegram上の今週の動向を踏まえ、このアプリが実際にはロシアの金融機関である VTB Bank のクライアントアプリだと指摘しています。VTB Bank は米政府から長年にわたって厳しい制裁を受けている国有銀行であり、Apple が制裁対象事業者に課している厳格な配布禁止ポリシーを回避するため、ダミーのデベロッパーアカウントや偽装アプリに頼らざるを得ない状況にあると報じられています。

つまり、表向きはポモドーロタイマーを装いつつ、中身は制裁下の銀行アプリを米国ユーザーに届ける手段として機能していた可能性が高い、という構図です。同記事は「近いうちに削除される可能性が高い」との見方を示しており、実際に公開から約2時間後に App Store 上から消えたとアップデートで伝えています。なお、Telegram上の動向やアプリ説明文の翻訳に基づく分析が中心であるため、運営主体や配布経路の詳細については今後の追加報道で見方が変わる可能性もあります。

ユーザー側の判断軸——「上位チャートの違和感」は強いシグナル

このケースでは、App Store のトップチャートそのものが、何かがおかしいことを示す強力なインジケーターとして機能した形です。AIアプリや話題のリアリティ番組関連アプリが並ぶ中に、英語非対応の見慣れないロシア語アプリが突如3位に食い込めば、通常のユーザーから見ても違和感を覚える状況だったと言えます。

リーク的な情報ではなく実際に App Store 上で観測された事象ですが、現時点ではこの「偽装ポモドーロアプリ」には近づかないのが妥当です。9to5Mac も該当アプリの利用を避けるよう明確に推奨しています。すでに削除されたとされていますが、同様の手口で別のアプリが再登場する可能性は否定できず、ロシア語のみ・英語非対応・突如ランキング上位といった特徴が揃うアプリには慎重に接するのが安全です。

制裁発動以降に繰り返されてきたVTBの偽装アプリ史

VTB Bankは「Sirius」以前にもApp Storeで偽装アプリを展開してきた経緯が確認されています。正規のVTB Onlineは、ウクライナ侵攻関連の対露制裁発動直後にApp Storeから姿を消したとされています。その後の代替アプリの登場と削除の流れは、以下のとおり整理できます。

• 2022年5月、VTB Onlineの代替として「Prime Balance」がApp Storeに登場し、同年8月までに削除されています
• 2023年3月1日、レストランの割引・クーポンを管理する「Vsyo Prosto（『すべてが簡単』の意）」がApp Storeに登場し、実体はVTB BankのオンラインバンキングだったためAppleが削除しています

制裁発動で正規アプリが消えた直後から、別ジャンルを装ったクライアントアプリが断続的に投入され、Appleが順次対処してきた経緯が読み取れます。今回の「Sirius」も、こうした既知の流れの延長線上に位置するケースとして見ておくのが妥当です。

TTPが指摘した「制裁対象アプリの構造的残存」問題

「Sirius」は単発の逸脱ではなく、より広い構造的問題の一部として位置付けられます。非営利監視団体Tech Transparency Project（TTP）は、2025年7月にOFACのSDNリストをダウンロードし、Pythonスクリプトでapps.apple.comとplay.google.comを横断検索する手法で調査を実施しています。

TTPからの通知を受けてAppleは18本を削除し、調査期間中にさらに17本が消えた一方で、依然17本が残存していたとされ、その多くが銀行・モバイル決済系アプリだったと報告されています。プラットフォーム側の対応が個別通報ベースで進む一方、SDNリストとの突き合わせという機械的な照合で多数の該当アプリが浮かび上がる状況が示されており、配信前の審査段階で制裁対象事業者を捕捉する枠組みが十分に機能していない実態が浮かびます。

Q&A

Q. このアプリ「Sirius」はもうダウンロードできないのですか？ 9to5Macのアップデートによれば、記事公開からおよそ2時間後に App Store から削除されたようです。ただし同様の手口で別の偽装アプリが現れる可能性は残ります。

Q. なぜポモドーロタイマーに偽装する必要があったのですか？ VTB Bank は米国から長年にわたり制裁を受けており、Apple のポリシー上、制裁対象事業者は米 App Store でソフトウェアを直接配布できません。そのためダミーのデベロッパーアカウントや無害に見える生産性アプリの体裁を使い、配布禁止を回避していたと9to5Macは報じています。

Q. すでにダウンロードしてしまった場合、どうすればよいですか？ 9to5Macは該当アプリを避けるよう推奨しています。具体的な対処手順までは公表されていないため、詳細は出典元を参照してください。

出典

• 9to5Mac — Disguised Russian banking app surged to top three on the US App Store
• Meduza — Apple removes VTB Bank app that was posing as restaurant coupon tracker
• Tech Transparency Project — U.S.-Sanctioned Firms Find Opening in Apple and Google App Stores