世界を動かす技術を、日本語で。

Googleへの公開書簡:アプリ配信における開発者登録の義務化について

概要

  • Googleによる Androidアプリ開発者の強制登録政策 への反対声明
  • この新方針は Androidのオープン性や競争、プライバシー を脅かす懸念
  • 既存の セキュリティ対策で十分 であり、追加の中央集権的管理は不要
  • 開発者や市民社会との 対話と協働 を求める要望
  • Androidの中立性とオープン性 の維持を強く主張

GoogleによるAndroidアプリ強制開発者登録政策への反対声明

  • Googleが発表した 全Androidアプリ開発者の中央登録義務化 に対し、非営利団体や技術企業が強く反対表明
  • この新方針は Google Playストア外でのアプリ配布 にも適用され、Googleによる事前認証、利用規約への同意、手数料支払い、政府発行IDの提出が必須となる
  • Googleの ゲートキーピング権限の拡大 により、独自配布チャネルやサードパーティストア、企業内配布などにも影響が及ぶ
  • Googleが 全世界のアプリ配布を一元管理 することで、任意のアプリを無効化する力を持つことへの懸念

参入障壁とイノベーションへの悪影響

  • 登録義務化は 個人開発者や小規模チーム、オープンソースプロジェクト にとって大きな負担
  • 登録インフラへのアクセスが難しい地域や、 プライバシー重視の開発者、緊急対応・人道支援団体、インターネット自由活動家などが影響を受ける
  • 制裁対象地域や政治的に抑圧された国 の開発者も登録不可となる恐れ
  • 多様性の減少と大手企業への権力集中 を招く

プライバシーと監視リスク

  • 登録プロセスで すべての開発者の個人情報がGoogleに集約 されることによるプライバシー侵害懸念
  • 提出情報の管理・利用方法、 政府機関からの情報要求や法的手続き への対応不透明
  • プライバシー重視や政治的に敏感なアプリ開発者にとって 不必要な監視・リスク となる

恣意的な運用・アカウント停止リスク

  • Googleの 既存のアプリ審査プロセス は不透明で一貫性に欠け、異議申し立ても限定的
  • この仕組みを全Android端末に拡大することで、 恣意的な拒否やアカウント停止、自動化された判断による重大な決定リスク
  • 一社による単一障害点 が生まれ、競争的なソフトウェアエコシステムを阻害

競争制限・独占的影響

  • Googleが 全Android開発活動の情報を独占的に収集 可能となり、自社サービスへの競争脅威や市場動向を把握
  • 競合製品の事前把握や模倣、排除 など、競争上の優位性を不当に強化
  • 反トラスト法や競争法上の問題を引き起こす可能性

規制当局との関係・規制上の懸念

  • 欧州委員会や米司法省など、 プラットフォームの競争制限的行為への監視強化 が進行中
  • オープン性・相互運用性の確保、 過度な監視やソフトウェア自由の阻害 への懸念
  • Googleには、 規制順守とオープン性の両立 を求める声

既存のセキュリティ対策で十分

  • Androidには既に OSレベルのセキュリティ、アプリサンドボックス、権限管理 などの仕組みが存在
  • サイドロード時の警告 やGoogle Play Protect(ユーザーが任意で有効化可)、 開発者署名証明書 によるソフトウェア出自確認
  • 17年間、これらの対策で十分にユーザー保護が実現されてきた実績
  • 管理強化より既存対策の改善 に注力すべき

要望・提案

  • Googleに対し、 第三者配布に関する強制登録政策の即時撤回 を要求
  • 市民社会・開発者・規制当局と 透明性ある対話 を行い、オープン性と競争を尊重したセキュリティ向上策を検討すること
  • Androidの中立性・オープン性維持 と、Googleの商業的利益とプラットフォーム提供者としての役割の分離を強調

結論

  • Androidは 世界中の政府・企業・市民 に不可欠なインフラ
  • 一社による承認権限の集中 は、表現の自由・フリーソフトウェア・競争・デジタル主権への重大な脅威
  • Googleに対し、 開発者認証プログラムの撤廃とコミュニティとの協働 によるセキュリティ向上を強く要望
  • Androidエコシステムの強みである オープン性の回復と信頼の再構築 を求める

Hackerたちの意見

署名した人たちは、基本的にGoogleが消えてほしいと思っている団体のリストだね。

その通り!Googleは市民社会なんて全く気にしてない。自分たちの権力を優先して、自由や権利を踏みにじることも厭わない。個人的には、この制限が人々を目覚めさせて、Google以外の選択肢を探すきっかけになればいいと思ってる。

この手紙の中で最も物議を醸している主張は、「既存の対策は十分である」という部分だ。2025年11月のGoogleの発表では、かなり明確な攻撃ベクターが示されていた。 「例えば、東南アジアで追跡している一般的な攻撃がこの脅威をはっきり示している。詐欺師が被害者に電話をかけて、銀行口座が侵害されたと主張し、恐怖と緊急性を使って『確認アプリ』をサイドロードさせて資金を守るように指示することが多い。標準のセキュリティ警告を無視するように教えることもある。インストールされると、このアプリは実際にはマルウェアで、被害者の通知を傍受する。ユーザーが本物の銀行アプリにログインすると、マルウェアが二要素認証コードをキャッチして、詐欺師に口座を空にするために必要な情報をすべて渡してしまう。」 「悪質なアプリを検出して取り下げるための高度なセーフガードや保護策があるが、検証がなければ、悪党は瞬時に新しい有害なアプリを作り出せる。これは終わりのないモグラ叩きのゲームになる。検証を行うことで、マルウェアを配布するために本物の身分を使わせる必要が生じ、攻撃がかなり難しく、スケールするのにコストがかかるようになる。必須の開発者登録はちょっと厳しすぎると感じるけど、コミュニティは『大丈夫、何も問題ない』という反応よりも、もっと良い解決策が必要だと思う。関連するアプローチとしては、通知やSMSを傍受するような極めて敏感な権限に対して必須の開発者登録を求めるとか、登録しない開発者には高額な『拡張検証』証明書を要求するのもありかも…?」

「標準のセキュリティ警告を無視するように教える」ことができるなら、二要素認証コードを渡すように教えることもできるし、フィッシングのための他のアプローチもいくらでもあるよね。

コミュニティは「いやいや、今のままで大丈夫」っていう反応じゃなくて、もっと良い対応が必要だよ。キッチンナイフで自分を切ることもできるけど、誰もキッチンナイフを禁止しようとは言わないでしょ。グーグルや政府はあなたの保護者じゃないんだから。

わかる、わかる。ワカモレ問題は実際にあるけど、強者に対して強制登録は解決策にならないよ。彼らはバーナー企業を使ったり、古い開発者アカウントを買ったりするだけだから。趣味でやってる人やサイドプロジェクトにはコストが上がるだけだよ。dfabulichが言ってる許可ゲート方式(通知/SMSインターセプトAPIのためだけに登録を必要とする)は、もっと的を絞ったアプローチに見えるね。

あなたの論理はPCにも当てはまるの?そうじゃないなら、なんで?「サイドロード」(未署名ソフトのインストール)をPCに対して厳しくするのが次の論理的なステップだって気づいてほしいな。TPMはすでに多くの消費者PCに存在してるし、ただ使われる必要があるだけなんだ。

開発者登録はこの問題を防げないよ。盗まれたIDは、詐欺ファームの運営がもたらす金額よりもずっと安く手に入るからね。グーグルにアクセスできる犯罪者は、望めば毎時間新しいバージョンの詐欺アプリを署名して展開できるんだ。この問題は(技術的な)リテラシーや、人々が他人の言うことを信じやすい自然な傾向、調査機関の無能さ、詐欺ファームや人身売買を取り締まることに消極的な国々に起因してると思う。私の銀行のアプリは、電話中は動かないし、何かがリモートで電話を操作してるときも動かない。銀行アプリは、マルウェアでルート化された脆弱な電話に対して何もできない(あなたが決めたしきい値に応じて動作を強制する以外は)けど、銀行や警察がグーグルに責任を押し付けてる国々は、簡単な道を選んでる気がする。詐欺師は数日でこれらの制限を回避する方法を見つけるし、他の人たちは逆に悪化するだけだよ。

この問題には、単純に知られている解決策がないんだ。ユーザーに未確認のアプリをインストールする権限を与えたら、悪い奴らが彼らを騙して認証コードを盗むような悪質なアプリをインストールさせることができる。特定のアプリを禁止したいなら、どのアプリ(ストア)が「認可」されるのか、どんな基準でその区別をするのかを決めなきゃいけなくて、必然的にユーザーが自分のデバイスでできることを制限することになる。未確認のアプリをインストールする前に、複雑な「ロック解除」メカニズムを要求する柔らかいアプローチもあるけど、そのメカニズムは詐欺師に導かれた普通の非技術的ユーザーが管理できる以上に複雑でなきゃいけないからね。だから、結局ノーマルな人たちが非プレイストアのアプリをインストールするのが不可能になって、他のアプリストアはほとんど無意味になっちゃう。詐欺の問題は本当に深刻だけど、提案されている解決策は病気よりも悪化してるように思えるよ。

開発者登録が義務化されるのはやりすぎだと思うけど、コミュニティは「いやいや、今のままでいいじゃん」よりも良い反応が必要だと思う。バカ(またはあまりにも naive)な人を教育する代わりに、みんながデバイスで有用なことをするのを制限する「保護」を実装するの?それで「私たち」のアプリストアだけを使わせるって?なんかおかしいよね…もっと穏やかな対策、例えば「サイドローディング」に対してかなりの遅延を課すとか…例えば、F-Droidをインストールしたいって電話に言ったら、インストール可能になるまで数時間待たなきゃいけないとか?もちろん、普段通りにデバイスを使いながらね。カウントダウンは、同時に銀行に電話する方法を教えるオプションのチュートリアルと組み合わせることもできるし。小さなヒントが適切かもしれないね。

開発者登録が義務化されるのはやりすぎだと思うけど、コミュニティは「いやいや、今のままでいいじゃん」よりも良い反応が必要だと思う。コミュニティが違う反応をする理由は何?今のままで問題ないよ。人生は安全じゃないし、安全にするためには自由を奪わなきゃいけない。それが世界の根本的な真実だよ。ある時点で人を大人として扱う必要があるし、それには彼らが悪い決断をすることを許すことも含まれる。誰かが騙されやすくて、詐欺師の言うことを電話でやるのは「攻撃ベクトル」じゃないよ。それは人が自由で悪い決断をすることなんだから。それが、彼らが持っているデバイスにアプリをインストールするのを禁止する理由にはならないし、アルコール依存症の人に「お金を引き出させないよ、だって酒屋で使うの分かってるから」って言うのもおかしいでしょ。

通知アクセスを得るために余分な手間が必要っていうアイデアは好きだけど、結局こういう詐欺が狙うのは時間の敏感さなんだよね。それを取り除けば、いろんな面で問題が解決する。例えば、銀行は本人確認なしに口座を空にさせるべきじゃないし、必ず24時間の待機期間を設けるべきだよね。サイドロードしたアプリが通知を受け取る場合も同じで、サイドロードして通知を読みたいなら、24時間待たなきゃいけない。ほとんどの場合、そんなことは気にしないだろうけど。逆に、通知を読むのはアプリごとにオプトインにして、読み取るアプリがSMSメッセージや銀行の通知を読むための許可を持ってる必要があるっていうのもありだけど、それは技術的な理解が必要だから、完全に安全とは言えないよね。

Hacker Newsで議論の続きを見る