世界を動かす技術を、日本語で。

Google、Androidアプリのインストールおよびサイドロードに開発者の確認を必須化

2025年8月26日原文(9to5google.com)

概要

Googleは2026年から、認証済み開発者のアプリのみが認定Android端末にインストール可能となる新要件を発表。 この要件はGoogle Playだけでなく、サードパーティストアやAPKファイルのサイドローディングにも適用。 目的はマルウェアや金融詐欺アプリの抑制と、悪質な開発者の再流通防止。 学生やホビイスト向けには商用開発者とは異なるワークフローを用意。 2026年9月から一部国で先行導入、2027年以降はグローバル展開予定。

Google、認証済み開発者アプリのみインストール許可へ

  • 2026年より、 認証済み開発者 のアプリのみが 認定Android端末 でインストール可能となる新要件
  • 対象は Google Play Protect搭載かつGoogleアプリプリインストール済み の公式認定端末
  • 2023年からPlayストアでは同様の要件を導入済み、今回は 全てのインストール方法 (サードパーティストア、APKサイドローディング含む)に拡大
  • 例: 空港のIDチェック のように、開発者の身元確認のみを実施し、アプリ内容や配布元の審査は行わない
  • 主な狙いは 偽アプリ対策 と、悪質な開発者による再配布の困難化

背景と導入理由

  • Google調査で インターネット経由のサイドローディングアプリはGoogle Play経由の50倍以上のマルウェア発生率
  • サイドローディングやサードパーティストアの利用自由度は引き続き維持
    • 認証済み開発者 であれば、どの配布経路も選択可能
  • 新要件により、 Android Developer Console(Google Play外配信専用) を新設
    • 商用開発者はD-U-N-S番号など、既存のPlay Consoleと類似の認証手順
    • 学生・ホビイストは 別ワークフロー を用意
  • Google Play経由配信済み開発者は既に要件クリア済みの場合が多い

導入スケジュールと地域展開

  • 2024年10月:一部開発者向けに認証プロセス提供開始
  • 2026年3月:全開発者向けに認証手続きオープン
  • 2026年9月: ブラジル、インドネシア、シンガポール、タイ で先行導入
    • これらの国は 詐欺アプリ被害が特に深刻
  • 2027年以降: グローバル展開 開始、全世界の認定Android端末で適用

関係各所からの反応

  • インドネシア通信・情報省 :「ユーザー保護とAndroidのオープン性維持のバランスが取れた施策」と評価
  • タイデジタル経済社会省 :「国家デジタル安全政策に合致する積極的な対策」とコメント
  • ブラジル銀行連盟(FEBRABAN) :「ユーザー保護と開発者責任の促進に大きく貢献」と称賛

まとめ

  • Googleの新要件により、 マルウェアや詐欺アプリ の流通が大幅に抑制される見込み
  • サードパーティストアやサイドローディングの 自由度は維持 しつつ、開発者の身元確認を強化
  • 段階的な導入 で各国の事情に対応しつつ、グローバルなモバイルセキュリティ向上を目指す方針

Hackerたちの意見

公式発表: https://android-developers.googleblog.com/2025/08/elevating-... 詳細情報: https://developer.android.com/developer-verification https://support.google.com/googleplay/android-developer/answ... 個人的には…Playストアは悪質なゴミで溢れてるから、そこでの認証要件なんてユーザーを守る役には立たないよね。俺が見る限り、これは単なる権力の奪取で、GoogleがRevancedみたいなアプリを完全に潰すための手段だと思う。もし彼らが気に入らないことをしたら、適当な理由をつけて開発者アカウントを停止するだけだし。Googleの人たちが「安全性」について言及するたびに、Androidには95%の悪質なアプリを無力化できる隠れたインターネット権限があることを思い出すよ。でも、それは隠されてるみたいで、ユーザーが広告をブロックするために使うのを防ぐことが、Googleにとっては安全を守るよりも重要なんだろうね。 > 「我々は開発者が誰であるかを確認するが、アプリの内容や出所をレビューすることはない」 これはすごく変な発言だよね。アプリの内容をどこかでレビューするつもりはないのかな(実際にマルウェアを作っている開発者のアカウントを停止するためだけでも)。そうでなければ、この一連の流れはただの摩擦を生むだけだよ。TFAは制限を回避する方法がPlay Protectを無効にすることかもしれないと信じさせたけど、公式情報にはそのことについての言及がないから、どうやらそうではないみたい。一方で、これで自分のプロジェクトをサポートするプラットフォームが一つ減ったってことだね。魂を売るつもりがないなら、LinuxとWindowsだけになるよ(ああ、Googleアカウントは作らないから)。

その隠れたインターネットアクセス制御設定について、もう少し詳しく教えてくれない?

でも、隠されてるみたいで、ユーザーがアプリの広告をブロックするのを防ぐことが、Googleにとっては人々の安全を守るよりも重要みたい。インターネットの権限は広告とは関係ないの?隠された権限なのは、1) インターネット接続があまりにも一般的すぎて表示するとただの雑音になるから 2) それが強固じゃないから、インターネット権限がないアプリでも、他のアプリを使ってデータを簡単に抜き取ることができるから。

Play Protectを無効にすれば制限を回避できるかもって思ってたけど、公式情報にはそのことが全然書かれてないから、どうやらそうじゃないみたい。実際に変更が行われるまで、確実にはわからないと思う。Play Protectを通すのが一番簡単な実装方法だろうね。「Play Protectが既知のマルウェアを拒否する」から「Play Protectが適切に公証されていないアプリを拒否する」っていう単純な変更になる。これで、異なるパッケージIDを持つ新しいマルウェアのバリエーションが出てきても、既存のマルウェアチェックが無効化される問題に狭く対処できる。ただ、エコシステムにとっては大きな変化だよ。既存の開発者は「正当な」アプリを公開するために認証登録が必要になるから、一般的なAndroidデバイスで拒否されないようにしないといけない。公式発表の言い回しもこれを正確に反映してる。でも、これがパワーユーザーがこれらのチェックを積極的に無効にできるかどうかについては、まだ何も言ってないね(今でもPlay Protectをオフにできるけど、実際にやってる人は少ないし)。

これはすごく変な発言だね。アプリの内容をどこかで確認する必要があるはずだと思う(実際にマルウェアを作っている開発者のアカウントを停止するためだけでも)。そうじゃないと、この問題はただ摩擦を生むだけだよ。企業の確認を要求することで、正当な機関、例えば銀行が作ったアプリを装ったものに対抗できるし、パッケージ名の公開鍵登録を要求することで、マルウェアを使ったパッケージの改変を防げる。典型的な問題として、「自分の国では利用できないアプリをダウンロードしたい」ってことがある。休暇中で現地のアプリを試したいのに、「プレイストアの国」がクレジットカードに紐づいていて、開発者が外国人には無意味だと思って自国だけでしか公開してない。私はいつもAPKMirrorからダウンロードしようとするけど、APKMirrorでも見つからないことがあって、怪しいサイトでしか見つからないこともある。怪しいサイトは署名確認をしてないかもしれないから、オリジナルの改変されてないAPKをダウンロードしたのか、マルウェアが注入されたオリジナルAPKをダウンロードしたのか分からない。これらはパッケージの内容を実際にスキャンしなくてもできることなんだ。要するに、EV SSL証明書やTLSのDANE/TLSAの同等物みたいなもんだね。

じゃあ、これで決まりだね。もしこれが実現したら、契約関係なしにアプリをインストールできるOSと、メインストリームで安全なアプリ(銀行アプリなど)を使えるOSの選択肢がモバイルOS市場にはなくなるってことだ。

時間が経つにつれて、承認されたOSとブラウザを使わないとデスクトップからしか銀行にアクセスできなくなるよ。

それなら、無効にしてブラウザで使える銀行アプリを選ぶしかないね。俺のアプリのほとんどはサイドロードしてるし、いくつかはPlayストアにあるか、開発者が詳細をアップロードするかもしれない。

開発者は、サイドロードを通じてユーザーに直接アプリを配布する自由や、好みのアプリストアを利用する自由を持つことになります。我々は、選択肢を守りながら、全員の安全性を高めることがオープンシステムのあり方だと信じています。 言葉の意味がなくなってしまったのかな。閉じ込めることについての発表で、どうしてオープンシステムを主張できるの?このことを支持しているのが企業や政府だっていうのも興味深いね。「Developer's Alliance」が何なのかは知らないけど、開発者のことをあまり気にしてないみたいだし、ただ「お金を払ってくれれば、あなたのやってることは開発者にとって良いことだと言うよ」みたいな存在だったら驚かないな。

デベロッパーアライアンスの住所はワシントンDCのコワーキングスペースだよ。公的なテクノロジー政策の専門家たちのためのアストロターフかもしれないって評価するなら、そこも考慮してね。

記事ではアカウント承認プロセスについてあまり触れられてなかったけど、見た感じGoogleは好きなように申請を受け入れたり取り消したりできるみたいだね。オープンプラットフォームなんて言っても、結局はゲートキーピングだよ!個人的には、署名のないアプリはインストール前にユーザーが通知をクリックする必要があるとか、署名のないアプリを有効にする設定があってもいいと思う。Windowsでは、署名のないバイナリにはポップアップ警告が出るけど、署名のあるものはすぐに実行されるからね。

最近の技術にとってこれ以上の悪いことはないよ。主要な電話OSは2つしかないのに、暗号化を禁止することはできないから、政府はこういう手法でセキュリティやプライバシーを削っていくしかないんだ。出典: https://developer.android.com/developer-verification 「公式の政府IDをアップロードする必要があるかもしれません。」 これが実現したら、Googleや関係する政府にとって良い結果にはならないだろうね。人々が怒りすぎて、これを撤回せざるを得なくなると思うよ。代わりの電話OSに切り替えよう。

Hacker Newsで議論の続きを見る