ハクソク

世界を動かす技術を、日本語で。

サイドロードを許可しつつ、ユーザーを安全に保つことは可能か?

268日前原文(shkspr.mobi)

概要

GoogleがAndroidアプリの 開発者登録必須化 を発表。 これにより サイドローディング (非公式アプリのインストール)の自由が大きく制限される懸念。 セキュリティと 利用者の自由 のバランスに関する議論。 詐欺対策の現状と Googleの狙い について考察。 最終的な解決策の提示はなく、 ジレンマ が残る問題提起。

現実主義を試みる:Androidアプリ規制と自由

  • 自分の所有する ハードウェア で好きなプログラムを実行できるかという根本的な問い
  • Googleが発表した「 開発者登録必須化」により、公式ストア外からのアプリ(サイドローディング)が厳しく規制される懸念
  • Cory Doctorowの「The Coming War on General Computation」演説を引用し、 コンピュータの所有者の自由 の重要性を強調
  • 反論として、アプリ開発者が自分のコードをどこで動かすか選ぶ権利や、 銀行アプリやゲームのセキュリティ要件 の正当性も認める
  • 開発者が自分のソフトウェアを 信頼できる場所 からのみインストールさせることの合理性

Googleの主張と現実

  • Googleは「 匿名の悪意ある開発者による詐欺アプリ」が多発していると説明
  • Google Play外からの サイドローディングアプリにおけるマルウェア率 が公式ストアの50倍以上というデータを提示
  • Android初期の「自由すぎる設計」は セキュリティリスク を招いた歴史
  • ユーザーは 警告や権限表示を読まずに 危険なアプリをインストールする傾向
  • 実際に銀行が詐欺警告しても 被害者が詐欺に遭う事例 が続出

新ルールの実施地域と背景

  • 2026年9月より、 ブラジル・インドネシア・シンガポール・タイ で新ルール施行
  • これらの国々では 詐欺アプリ被害が深刻 という社会的背景
  • シンガポール警察やブラジルの巨額被害データ、インドネシア・タイの事例も紹介
  • 政府・警察・社会が 詐欺対策強化 を求めている現状

Googleの真意と批判

  • Googleは「Androidの評判悪化でユーザー離れ」を恐れ、 プラットフォーム保護 を図る意図
  • 金融機関がAndroid対応をやめるリスク、 社会全体のコスト 増大への懸念
  • 一方で、Googleが オープンソース精神を損ない、開発者や小規模メーカーを排除する「権力の囲い込み」への不信感
  • 開発者登録が Googleアカウントに依存 し、アカウント停止などで配布不能になるリスク
  • 「学生やホビイストもOK」とのGoogleの説明に対する 根強い不信

サイドローディング規制の副作用

  • 開発者IDの 盗難やなりすまし による新たな被害の可能性
  • 本人確認や責任追及が 逆に善良な開発者の負担 になる懸念

ジレンマと問いかけ

  • ユーザーの 自由 と社会的弱者の 保護、どちらを優先すべきかという根本的ジレンマ
  • メガテック企業が 全員の安全を担保する代償 として一部の自由を犠牲にしてよいのか
  • 教育強化超安全なOS構築AIによる詐欺検出 などの対策案も現実的な解決策にはなりきれない現状
  • 最終的な答えは出ておらず、 悩ましい問題提起 で締めくくり

Hackerたちの意見

サイドロードじゃないよ。別に怪しいことしてるわけじゃないし、こっそりやってるわけでもない。自分のデバイスにソフトウェアをインストールしてるだけなんだから。このニュースピークは、GoogleやAppleが管理してないソースからのソフトウェアインストールを悪く見せるためにわざわざ作られた言葉だよ。

サイドローディングという用語はスマートフォンよりも前から使われてるよ。メディアを電子プレーヤーに取り込む方法を説明するために使われてたんだ。文字通り、横のポートに差し込んで、コンピュータからメディアを読み込むって感じ。

最初に言いたいのは、ユーザーは他人のコードを実行する権利がないってこと。もしそのコードの所有者がそれを使えるようにしたくないならね。例えば、銀行のアプリを考えてみて。/../ 銀行は「あなたのマシンはリスクが高すぎるから、うちのコードを実行したくない」って言う権利があると思う。でも、そうすべきなのかな? Googleのブラウザ署名を受け入れて、銀行が気に入らないブラウザを全部禁止するべき? 銀行が審査してない人からの電話を受けることは許されるの?それが銀行の利益にリスクをもたらすかもしれないから、詐欺に巻き込まれるかもしれないよね。結局、「セキュリティ」の名のもとにプライバシーや自由の侵害を見逃すべきなのかな。[0] だって、隠すことなんて何もないし。

でも、そうすべきなのかな? Googleのブラウザ署名を受け入れて、銀行が気に入らないブラウザを全部禁止するべき? もし銀行に対して詐欺の責任を問いたいなら(これは多くの国で実際に起こってることだけど)、詐欺を防ぐために技術的な手段を使うことを許さないのは理にかなってないよね。銀行が顧客に対して詐欺の責任を負うべきじゃないって主張することもできるけど、実際にそれがどう機能するかは暗号通貨の世界を見ればわかるよ。

それに同意するなら、詐欺に遭っても何の保護も受けないってことになるけど、それ以外は同意するよ。2FAが必要っていうのも本当に嫌だし。自分のアカウントが盗まれることについて、どれだけ気にするかは自分で決めさせてほしいよね。

たくさんの銀行が「Chromeでのみ利用可能」とか「ブラウザのバージョンxyzを使っていなければならない」って言うよね。アプリ専用の銀行もあるし。最近のスマホには「迷惑電話」機能があるのも気づくと思う。これは電話ネットワークからデータを取得するか、他のソースから取得するんだ。最も明らかな迷惑電話をブロックするべきなのかな?メールクライアントはすでに迷惑メールをブロックしてるし。ネットワークレベルでは、STIR/SHAKENも詐欺電話を受けないようにしようとしてる。こういうことが今起こってるんだ。ほとんどの人は、電話の迷惑電話が減ることはたまにある誤検知よりも価値があると思ってるんじゃないかな。あなたは違う意見かもしれないけど。

「サイドロード」って言葉はネガティブな意味合いがあるよね。AppleのロックダウンされたiPhone以前のシステムでは、ただ「インストール」と呼ばれてた。PC革命は、人々が自分のソフトウェアをコンピュータに挿入して実行するところから始まったんだ。コンピュータメーカーやOSベンダーに許可を求める必要なんてなかったし。あと、Appleは自分を守る手段を許可してないよ。ファイアウォールをインストールして、好きなソフトウェアをブロックすることもできない。例えば、Appleのテレメトリをブロックすることもできないんだ。

だから、自由と共にアンチウイルスのビジネスも生まれたんだよね。

サイドロードって言葉は、サイドステップ(同義語:回避、逃避、無視、避ける、逃げる)みたいな響きがあるよね。この言葉はiOSから生まれたのかな?プログラムを手動でインストールするために回避しなきゃならなかったから。

開発者が自分のソフトウェアを誰が使うか決める権利があると考えるなら、実際そうなんだよね。最近インストールした10個のapkのうち、 - 9個はローカルストアにないアプリ - 1個はマニフェストの設定をちょっと変えたアプリ みたいな感じ。技術に詳しくない人には、例えば無料のラ・リーガの試合を放送するとか言って、実際にはスマホから全部スクレイピングするような怪しいapkも含まれるよ。

そうだね、ウイルスやコンピュータ上のツールバー、キーロガー、マルウェア、ランサムウェアなんかがあるよね。オープンなスマホが欲しいなら、そういうのを買えばいい。でも、家族の年配のメンバーにはiPhoneやiPadを買うように勧めてるよ。1986年からコンピュータをプログラミングしてるけど、スマホにサイドロードするのがクールだなんて言ったことはないよ。

  1. コンピュータハードウェア(iPhoneなど)を買う。2. 自分のソフトウェアをインストールしようとする。3. 製造者からの「許可」なしに、自分のソフトウェアをデバイスにインストールできない。4. だから、私はそのハードウェアを所有していない。製造者がまだ所有している。5. だから、これは販売ではなく無期限のレンタルだ。6. 私は偽の販売で騙されたし、Appleは何百万ものレンタルユニット(電話、タブレット)に対して適切に課税されていないことでIRSを欺いている。

いいえ、そうじゃない。「OSと統合された」インストールパスを使わないことを意味するだけだ。一般的に「開発者」と「ユーザー」を区別しようとする大きな動きがあって、企業環境では「ユーザー」層を制限し、システムを本当に活用できる能力を「祝福された」人たちにだけ分け与えようとしている。

アップルの厳しいiPhone以前のシステムでは、単に「インストール」と呼ばれてたんだよね。もし電話会社がしっかりした権限システムを作れたら、こんな問題は起きなかったはず。アプリはデフォルトで自分のインストールファイルを読み込めるべきだし、ローカルストレージやキャッシュ用の専用ディレクトリを持つべきだよね。ユーザーが許可すれば、ホームサイトにネットワーク接続もできる。それだけで十分。これでほとんどのゲームはカバーできるけど、他には何がある?

確かに、その中には電話も含まれてたよね。

アプリストアや認証がユーザーを守っているっていう前提は間違ってると思う。サングラスが太陽から守ってくれるって言ってるようなもんだよね。すぐに眩しさを和らげてくれるけど、日焼け止めや帽子も必要だし。AppleやGoogleが明らかに詐欺のアプリを拒否しても、他の方法で人が騙されたり傷ついたりすることは変わらない。オンライン年齢確認が子供を守ったり、親としての質を上げたりするわけじゃない…これは一種のストローマンで、ユーザーから安全感を与えることで自由を奪うためのものだよ。

iPhoneのシステムは、設計された目的、つまりマルウェアのインストールから人をかなり守ってるよね。サングラスが日焼け止めを必要とするのを止められないのと同じで、アプリストアも車の事故から守ってくれるわけじゃない。

「サングラスが太陽から守ってくれるって言ってるようなもんだ」 実際、思っているよりずっと近いよ。普通のサングラスもあれば、様々な目的に合わせて評価されたサングラスもある。環境が極端になるほど、前者は実際には存在しない安全感を与えることが多いんだ。

デバイスの所有者が最終的な決定権を持つべきだと思う。今の設定だと、所有者の基本的な財産権、特に排除権を奪っているように感じる。多くのシステムでは、どのソフトウェアを含めるか除外するかの決定が、デバイスの所有者ではなく、第三者によって暗号的に行われているんだ。安全性やその他の理由で人々の財産権を制限するのは支持すべきじゃないと思う。iOSはこの点で最悪の部類だし、Androidがどんどんその方向に進んでいるのを見るのは悲しい。これが実際に人々の財産権を制限しているって、前にも何度も言ってきたよ。これに関する他の投稿もあるから、見てみてね: * https://news.ycombinator.com/item?id=39349288 * https://news.ycombinator.com/item?id=39236853 * https://news.ycombinator.com/item?id=35067455 * https://news.ycombinator.com/item?id=40727203

デバイスの所有者。これが誤解の核心かもしれないね。音楽や映画、テレビ番組の「ライセンス」は、今やハードウェアにも関係してる。デバイスの所有者が、そのデバイスで何ができるかをコントロールしてるんだ。お金を払った人がその権利を持ってるわけじゃない。

以前にも何度か言ったけど、これは実質的に人々の財産権を制限してる。これに関する他の投稿もあるよ:これはすごく長いし、iPhoneに直接関係ないけど、君の訴えが多分聞かれない理由を最も包括的に説明してると思う:https://youtu.be/ZK742uBTywA?si=poDXl3Mz7lYwdUxa0(要約:国際条約)

アプリをインストールする理由は二つある:自分がインストールしたいから、または強力な第三者がインストールしないとすごく厳しい罰を与えてくるから。今はほとんどのアプリインストールが後者に該当してる。このカテゴリーでは、あなたの(駐車アプリ/アパートアプリ/コース選択アプリ/銀行アプリ)をroot権限で無制限にインストールできないことを周知するのがすごく価値があるんだ。もし多くの人が同じようにrootできないなら、その価値はさらに高まる。これがAppleを買う理由なんだ!おばあちゃんのためにiPhoneを買う人に聞いてみて。もし政府が介入してこの調整メカニズムを奪ったら、めちゃくちゃ腹が立つよ。

サイドロードじゃなくて、アプリをインストールしてるだけだよ。敵の言葉を使わないで。社会の中で一番頭が良くない人たちが、一般の人よりも自由があるかのように思わせるコメントもあるけど、それは違う。言論の自由や自分の持ち物を所有する権利が最優先だよ。これには、自分のデバイスに好きなものをインストールする権利も含まれる。

「ユーザーに対して、見たすべてのプロンプトに「はい」とクリックしないように教育するために何十億も注ぎ込むの?」 そう、明らかにそうだよ。車を安全に運転する方法を教えて、知識を持っていることを期待するのと同じ。完璧に機能するかって?もちろん無理だけど、少なくとも注意を払わずに壁に車をぶつけたら、自分の責任かもしれないって考えることは大事だよね。コンピュータは仕事や生活において重要な要素だし、日常生活でテクノロジーが必須でないようにすることには賛成だけど、コンピュータを使うことが合理的に期待される場合、オペレーターには最低限の能力を求めるのも合理的だと思う。それをサポートするためには、全ての年齢層でより良いコンピュータ教育が必要だよね。ユーザーの利益を考えてデザインするのは大事だけど、正しいことをするのが一番簡単になるようにすることも重要。でも、どこかで妥協しないといけない。誰かが目の前の言葉を読むのを拒否するからって、業界全体の慣行を変えるわけにはいかないよ。

まあ、動かす努力をしないべきだとは言わないよ。これについての教育は間違いなく良いことだし。でも、これは人間の本質を変えようとして技術を変えないようにしてるみたいで、無駄な努力だと思う。こういうことに関しては、絶対に届かないユーザーが一定数いるからね。だから「…今は人々が賢くデバイスを使うのを信じられる!」なんて言えないんだ。人が何かをクリックすることの根本的な問題は、新しい技術だからじゃなくて、人間だからなんだよ。人はいつでも詐欺に引っかかるし、それは「コンピュータ上だから」って理由で変わるわけじゃない。

車を安全に運転する 乗用車は悪いアイデアだってことが分かってきたし、今やコンセンサスは、みんなが車を持つことを期待するのではなく、公共交通機関の利用をもっと進めるべきだってことみたいだね。個人の「汎用コンピューティング」デバイスについても同じことが言えるんじゃないかと思い始めてる。99%の人は、特にお気に入りのアプリ(InstagramやNetflixなど)が使えるなら、ロックされたデバイスを選ぶだろうね。オープンにしたら、海賊版やユーザーによる改ざんに対する保証ができなくなるかもしれないから。でも、エンドユーザーの視点からすると、悪意のある行為から守られることが分かっているのは安心材料だよね。任天堂は40年前にこれを理解してたんだ。ロックされたシステムを買えば、1983年に家庭用ゲーム市場を崩壊させた「エンシティフィケーション」のスパイラルから保証できるって。だから、めちゃくちゃ売れたんだよ。

車を安全に運転する方法を教え、知識を持っていることを期待するなら そうなら、もっとロックされた技術が必要だね。道路にいるほとんどの人は危険な存在だよ。

実際、ここには二つの別々の問題がある。A) 非技術的なユーザーが自分に害を及ぼすアプリを誤ってインストールしにくくすべきだ。B) 誰でも自分の持っているハードウェアで好きなコードを実行できるようにすべきだ。この二つは両立することができて、プラットフォームは両方をサポートするべきなんだ。最終的には、プラットフォームが何を許可するか、どうやってユーザーを守るかを決めることになる。Androidが規制を強化する理由はわかるよ。多くの人がランダムなウェブサイトやTelegram/WhatsAppグループから怪しいAPKをインストールして痛い目にあってるからね。でも、開発者にGoogleに登録させるのは解決策じゃない。自分のスマホで趣味のプロジェクトをやりたいなら、官僚的な手続きを踏む必要なんてないはずだ。Googleにはすでにユーザーを守るためのメカニズム、つまりPlayストアがある。実際の問題は、そのレビュー過程が弱くて、質の低い悪意のあるアプリで溢れてることなんだ。それを改善する方が、独立した開発者を罰するよりもずっと良いことだよ。彼らは、Playストアを優先して「ランダムな中国のアプリストアからのアプリは信頼できない」と言うことで、反トラスト行為を開放したくないんだ。GoogleがAndroidをもっと安全にしたいなら、第一歩はPlayストアをクリーンアップすることだよ。第二歩は、それを明らかに優先されたチャンネルにすること。そこまでやってから、ビッグブラザーになることを考えるべきだね。

リンクされた記事と同じように、これらの二つの声明はかなり明確だよね。 > A) 非技術的なユーザーが自分に害を及ぼすアプリを誤ってインストールするのを難しくするべきだ。 > B) 誰でも自分の所有するハードウェアで好きなコードを実行できるようにするべきだ。 C) 自分が好きなものを実行できる人が、故意または偶然に自分に害を及ぼすアプリをインストールしたいと思わないようにすることが可能であるべきだ、あるいはその害が無害であるか、逆転可能であるべきだ。 (C)を助けるものを考慮して、この原則を適用すると、「誰かの言うことの最も強い妥当な解釈に応じて返答してください。批判しやすい弱い解釈ではなく。善意を想定してください。」ということになると、iOS/iPadOSの開発者やアプリエコシステムの多くは、Cのバリエーションに関するポジティブな意図として理解できるよ。* 騙されたり、説得されたり、誤解されたり、混乱したり、強要されたり、など。

答えは「はい」。でも、「安全性」が最近のGoogleの動きの理由じゃない。これはEUのチャットコントロールやUKのオンライン安全法、アメリカの提案された子供のオンライン安全法と連動して取られた動きなんだ。これらの共通の目的は、市民のデジタルライフを完全にコントロールし、政府がすべてのインターネット通信を監視できるようにすることなんだ。ただし、エンドツーエンドの暗号化は無効にしない。彼らは外部の敵(ロシア、中国など)を排除するためにエンドツーエンドの暗号化が必要だけど、内部の敵を監視するためには暗号化されたメッセージの内容を見なきゃいけない。第一歩は、Google/Appleが許可していないアプリを実行できないようにすること。第二歩は、エンドツーエンドの暗号化通信アプリを監視するシステムを導入すること。これにより、情報機関が思想犯罪を検出できるようにし、みんなのチャットを中国やロシアの情報機関にさらさずに済む。これを実現するために、OSがアプリを認識し、要求に応じてプライベートキーを抽出することになるだろう。最後のステップは、ブートローダーをロックして、第二ステップで追加された「機能」がない電話を持てないようにすることだ。

まあ、政府の偏見は無視して。確かに彼らはあなたを狙ってるかもしれないけど、ビジネスがこんなことをするかどうか自問自答してみて。答えは「はい」。Googleは成長目標が必要で、アプリストアのロックインや手数料をモデルにしてるんだ。あなたがパラノイアな政府の世界に住むのは自由だけど、それは不必要な抽象概念だよ。実際には、彼らの独占に対するEUやアメリカの判決がこれを推進してるんだから。もう一度言うけど、そのパラノイアはただの戯言だよ。

そうだね、タイミングがあまりにも一致しすぎてる。みんな同じ木曜日の会議に出てるに違いない。スタールマンやドクターオウがそんなに正しかったとは思いたくないな。

逆の質問をするべきだよね。少数の企業や政府に私たちのコンピュータのコントロールを渡して、圧政から安全でいられるのか? 幼少期からのあなたやあなたの仲間の間違った意見や不手際を、体制側が全部知ってる中で、新しい政党を立ち上げたり、既存の政党の中で出世したりするのは難しいよ。

答えは「はい」。じゃあ、どうやって? ざっくりしたアイデアがあればいいな。だって、見えないから。痛いけど、この記事には納得させられる部分があるのを認めざるを得ない。周りにそういう人たちが毎日いるんだ。技術の経験なんて全然ないし、学校にも長く通ってない。なのに、スマホを持っていて、その機能や結果について全く理解していない。政府が彼らを守ってくれるのに慣れているんだ。

「電動工具を売って人を安全に保つことはできるの?」うーん、どうだろう。でも、電動工具を持っちゃいけない世界には住みたくないな。