8月26日、GoogleはAndroid Developer BlogでPlayストア外からアプリをインストールする
Android developer verification | Android Developers
開発者認定制度を導入する背景として、サイドロードはPlayストアを経由しないので、Googleのセキュリティ審査を受けずアプリが配布できます。結果として、マルウェアやスパイウェアの侵入経路として悪用される被害が増加しています。とくに特定のアプリを狙った、トロイの木馬型のマルウェアの多くが、サイドロードされて蔓延する結果となっています。
今回の措置により、野良アプリ配布サイトやメールを経由したマルウェアの感染リスクを減らし、セキュリティレベルを向上させるのが狙いです。
どのような仕組みか
Playストア外でアプリを配布する場合は、Android Developer Consoleを通じて、住所、氏名、メールアドレス、電話番号を使って、開発者の身元確認が行われます
この後、アプリのパッケージ名と署名鍵を登録することで身元確認が完了します。これは、開発者の身元確認が行われるだけで、アプリの内容を精査するものではありません。
ユーザがサイドロードできるのは、開発者認定を受けたアプリ提供元のアプリで、開発者認定を受けていないアプリ提供元のアプリは、インストール時に警告が表示されるか禁止される見込みです。スマートフォンは、生活必需品となり重要な個人情報を保存しているので、世の中が求めるレベルを加味すれば真っ当な措置です。
導入スケジュールは、2025年10月には早期アクセスが開始され、2026年9月以降は、段階的にブラジル、インドネシア、シンガポール、タイのユーザを対象に展開され、その後、世界中に展開されます。
この措置で、ユーザの安全性が向上して、Playストア外のアプリでもマルウェアなどへの感染リスクが低下します。
たとえば、誘導されるがまま、悪意のあるアプリをインストールして、被害に合うといったことは無くなるはずです
しかし、Androidが元来から持つオープン性を失うの事実です。これはGoogleも理解しており、これまでどおり、楽しみながらアプリ開発が進められるように、従来のAndroid Developer Consoleとは別に専用のサービスが用意されるようです。これでアプリ開発を趣味にする開発者は手続きをする必要がなくなります。
国内のユーザへの影響は?
初期段階で対象となった、ブラジル、インドネシア、シンガポール、タイは、マルウェアによる被害を多く受けている地域です。
国内では、セキュリティ担保のために、Playストア外からアプリをインストールしないのが一般的で、ユーザもこれを守って運用するのはあたりまえです。
よって、影響を受ける開発者の割合は少ないと考えますが、たとえば、Playストア外で配布されている、特定の業務アプリを利用するユーザと開発者は対象です。他コミケや同人マーケットでアプリを配布する開発者も対象です。
仕事を進めるうえで必要な業務アプリは、開発者認証を済ませるか、managed Google Playを使うことになるはずです。
managed Google Play へのアクセス - Android Enterprise ヘルプ
また、コミケや同人マーケットでアプリを配布する開発者は、開発者認証を受ければ良いので、高いハードルが設けられたという印象はありません。とはいえ、審査結果が得られるまで時間がかかるなど、ストレス要因が増えるのは間違いありません。
自由か、それとも安全か。
Androidは、ユーザ側に利用の主導権があり、これは妨げられないものであるポリシーを貫いて来たので、大きな方針転換の始まりと考えることもできます。
今回の措置は、自由が奪われたと嫌って反対する開発者もあり、Androidを選ぶ理由がなくなったと結論づける者もいます。筆者は、それほど神経質には受け止めておらず、安全性が高まるのであれば悪くはないと感じています。
今週は、このあたりで、また来週。