世界を動かす技術を、日本語で。

サイドロードを許可しつつ、ユーザーを安全に保つことは可能か?

2025年8月30日原文(shkspr.mobi)

概要

GoogleがAndroidアプリの 開発者登録必須化 を発表。 これにより サイドローディング (非公式アプリのインストール)の自由が大きく制限される懸念。 セキュリティと 利用者の自由 のバランスに関する議論。 詐欺対策の現状と Googleの狙い について考察。 最終的な解決策の提示はなく、 ジレンマ が残る問題提起。

現実主義を試みる:Androidアプリ規制と自由

  • 自分の所有する ハードウェア で好きなプログラムを実行できるかという根本的な問い
  • Googleが発表した「 開発者登録必須化」により、公式ストア外からのアプリ(サイドローディング)が厳しく規制される懸念
  • Cory Doctorowの「The Coming War on General Computation」演説を引用し、 コンピュータの所有者の自由 の重要性を強調
  • 反論として、アプリ開発者が自分のコードをどこで動かすか選ぶ権利や、 銀行アプリやゲームのセキュリティ要件 の正当性も認める
  • 開発者が自分のソフトウェアを 信頼できる場所 からのみインストールさせることの合理性

Googleの主張と現実

  • Googleは「 匿名の悪意ある開発者による詐欺アプリ」が多発していると説明
  • Google Play外からの サイドローディングアプリにおけるマルウェア率 が公式ストアの50倍以上というデータを提示
  • Android初期の「自由すぎる設計」は セキュリティリスク を招いた歴史
  • ユーザーは 警告や権限表示を読まずに 危険なアプリをインストールする傾向
  • 実際に銀行が詐欺警告しても 被害者が詐欺に遭う事例 が続出

新ルールの実施地域と背景

  • 2026年9月より、 ブラジル・インドネシア・シンガポール・タイ で新ルール施行
  • これらの国々では 詐欺アプリ被害が深刻 という社会的背景
  • シンガポール警察やブラジルの巨額被害データ、インドネシア・タイの事例も紹介
  • 政府・警察・社会が 詐欺対策強化 を求めている現状

Googleの真意と批判

  • Googleは「Androidの評判悪化でユーザー離れ」を恐れ、 プラットフォーム保護 を図る意図
  • 金融機関がAndroid対応をやめるリスク、 社会全体のコスト 増大への懸念
  • 一方で、Googleが オープンソース精神を損ない、開発者や小規模メーカーを排除する「権力の囲い込み」への不信感
  • 開発者登録が Googleアカウントに依存 し、アカウント停止などで配布不能になるリスク
  • 「学生やホビイストもOK」とのGoogleの説明に対する 根強い不信

サイドローディング規制の副作用

  • 開発者IDの 盗難やなりすまし による新たな被害の可能性
  • 本人確認や責任追及が 逆に善良な開発者の負担 になる懸念

ジレンマと問いかけ

  • ユーザーの 自由 と社会的弱者の 保護、どちらを優先すべきかという根本的ジレンマ
  • メガテック企業が 全員の安全を担保する代償 として一部の自由を犠牲にしてよいのか
  • 教育強化超安全なOS構築AIによる詐欺検出 などの対策案も現実的な解決策にはなりきれない現状
  • 最終的な答えは出ておらず、 悩ましい問題提起 で締めくくり

Hackerたちの意見

サイドロードじゃないよ。別に怪しいことしてるわけじゃないし、こっそりやってるわけでもない。自分のデバイスにソフトウェアをインストールしてるだけなんだから。このニュースピークは、GoogleやAppleが管理してないソースからのソフトウェアインストールを悪く見せるためにわざわざ作られた言葉だよ。

サイドローディングという用語はスマートフォンよりも前から使われてるよ。メディアを電子プレーヤーに取り込む方法を説明するために使われてたんだ。文字通り、横のポートに差し込んで、コンピュータからメディアを読み込むって感じ。

最初に言いたいのは、ユーザーは他人のコードを実行する権利がないってこと。もしそのコードの所有者がそれを使えるようにしたくないならね。例えば、銀行のアプリを考えてみて。/../ 銀行は「あなたのマシンはリスクが高すぎるから、うちのコードを実行したくない」って言う権利があると思う。でも、そうすべきなのかな? Googleのブラウザ署名を受け入れて、銀行が気に入らないブラウザを全部禁止するべき? 銀行が審査してない人からの電話を受けることは許されるの?それが銀行の利益にリスクをもたらすかもしれないから、詐欺に巻き込まれるかもしれないよね。結局、「セキュリティ」の名のもとにプライバシーや自由の侵害を見逃すべきなのかな。[0] だって、隠すことなんて何もないし。

でも、そうすべきなのかな? Googleのブラウザ署名を受け入れて、銀行が気に入らないブラウザを全部禁止するべき? もし銀行に対して詐欺の責任を問いたいなら(これは多くの国で実際に起こってることだけど)、詐欺を防ぐために技術的な手段を使うことを許さないのは理にかなってないよね。銀行が顧客に対して詐欺の責任を負うべきじゃないって主張することもできるけど、実際にそれがどう機能するかは暗号通貨の世界を見ればわかるよ。

それに同意するなら、詐欺に遭っても何の保護も受けないってことになるけど、それ以外は同意するよ。2FAが必要っていうのも本当に嫌だし。自分のアカウントが盗まれることについて、どれだけ気にするかは自分で決めさせてほしいよね。

たくさんの銀行が「Chromeでのみ利用可能」とか「ブラウザのバージョンxyzを使っていなければならない」って言うよね。アプリ専用の銀行もあるし。最近のスマホには「迷惑電話」機能があるのも気づくと思う。これは電話ネットワークからデータを取得するか、他のソースから取得するんだ。最も明らかな迷惑電話をブロックするべきなのかな?メールクライアントはすでに迷惑メールをブロックしてるし。ネットワークレベルでは、STIR/SHAKENも詐欺電話を受けないようにしようとしてる。こういうことが今起こってるんだ。ほとんどの人は、電話の迷惑電話が減ることはたまにある誤検知よりも価値があると思ってるんじゃないかな。あなたは違う意見かもしれないけど。

「サイドロード」って言葉はネガティブな意味合いがあるよね。AppleのロックダウンされたiPhone以前のシステムでは、ただ「インストール」と呼ばれてた。PC革命は、人々が自分のソフトウェアをコンピュータに挿入して実行するところから始まったんだ。コンピュータメーカーやOSベンダーに許可を求める必要なんてなかったし。あと、Appleは自分を守る手段を許可してないよ。ファイアウォールをインストールして、好きなソフトウェアをブロックすることもできない。例えば、Appleのテレメトリをブロックすることもできないんだ。

だから、自由と共にアンチウイルスのビジネスも生まれたんだよね。

サイドロードって言葉は、サイドステップ(同義語:回避、逃避、無視、避ける、逃げる)みたいな響きがあるよね。この言葉はiOSから生まれたのかな?プログラムを手動でインストールするために回避しなきゃならなかったから。

開発者が自分のソフトウェアを誰が使うか決める権利があると考えるなら、実際そうなんだよね。最近インストールした10個のapkのうち、 - 9個はローカルストアにないアプリ - 1個はマニフェストの設定をちょっと変えたアプリ みたいな感じ。技術に詳しくない人には、例えば無料のラ・リーガの試合を放送するとか言って、実際にはスマホから全部スクレイピングするような怪しいapkも含まれるよ。

そうだね、ウイルスやコンピュータ上のツールバー、キーロガー、マルウェア、ランサムウェアなんかがあるよね。オープンなスマホが欲しいなら、そういうのを買えばいい。でも、家族の年配のメンバーにはiPhoneやiPadを買うように勧めてるよ。1986年からコンピュータをプログラミングしてるけど、スマホにサイドロードするのがクールだなんて言ったことはないよ。

  1. コンピュータハードウェア(iPhoneなど)を買う。2. 自分のソフトウェアをインストールしようとする。3. 製造者からの「許可」なしに、自分のソフトウェアをデバイスにインストールできない。4. だから、私はそのハードウェアを所有していない。製造者がまだ所有している。5. だから、これは販売ではなく無期限のレンタルだ。6. 私は偽の販売で騙されたし、Appleは何百万ものレンタルユニット(電話、タブレット)に対して適切に課税されていないことでIRSを欺いている。
Hacker Newsで議論の続きを見る