世界を動かす技術を、日本語で。

Googleが未確認のAndroidアプリをサイドロードするための新しい24時間プロセスを詳細に説明

2026年3月20日原文(arstechnica.com)

概要

  • Googleは2026年にAndroidの 大規模なセキュリティ強化 を計画
  • アプリのサイドローディング に対する新たな制限を導入
  • 開発者認証プログラムを通じて マルウェア対策 を強化
  • 上級ユーザー向けに 検証回避手順 も提供
  • まずは一部地域で開始し、 グローバル展開 予定

Androidアプリのサイドローディング規制強化と開発者認証

  • 2026年より、GoogleはAndroid全体の マルウェア対策 を強化
  • 9月から 開発者認証プログラム を開始、アプリのサイドローディングを制限
  • Google Play以外でアプリを配布する開発者は、 本人確認・署名鍵の提出・25ドルの手数料 が必要
  • 未認証開発者のアプリは原則インストール不可
  • 一部上級ユーザー向けに「 advanced flow」という 検証回避手順 を提供
    • この手順は 開発者オプション内に隠されている ため、一般ユーザーには見つけにくい

advanced flowによる検証回避手順

  • 開発者オプション」を有効化(ビルド番号を7回タップ)

  • 設定>システム>開発者オプション>「 Allow Unverified Packages」をONに

  • コーション表示後、 端末ロック解除PIN/パスワード 入力

  • 端末を再起動

  • 24時間待機

  • 24時間後、再度該当メニューにアクセスし追加警告を確認

  • 一時的許可(7日間)」または「 無期限許可」を選択

  • リスクを理解した旨のチェックボックスをON

  • 以降、「 Install anyway」で未認証パッケージのインストールが可能

    • 24時間の待機期間は 緊急詐欺対策 のため導入
      • 高圧的なソーシャルエンジニアリング詐欺対策
      • 被害者が冷静になる時間を確保

Googleのセキュリティと選択肢のバランス

  • Googleは 30億台以上のAndroid端末 を守る責任を強調
  • ユーザーの プライバシーと安全性 確保が最優先
  • 認証は本人確認のみ で、アプリ内容の事前審査は行わない方針
  • 万一認証済み開発者がマルウェアを配布した場合、認証取り消し
  • ユーザーが意図しない被害」を与えるアプリがマルウェア定義
    • 意図的なrootkitやサードパーティYouTubeクライアント等は対象外

プライバシー・規制・国際展開に関する懸念

  • 認証情報の保存期間や扱い については詳細未定
  • 独立系開発者の 法的リスク や、制裁国(Cuba、Iran等)での認証困難への懸念
  • Googleは 各国事情に応じて認証プロセスを調整 予定
  • 2026年9月より ブラジル、シンガポール、インドネシア、タイ で先行実施
    • なりすましや詐欺が多い地域を優先
  • 全世界展開は翌年以降 を予定
  • Android 16.1以降の端末に 順次バリファイアーとadvanced flowを実装
    • UIは全端末で統一、Googleが提供

まとめ

  • Googleは サイドローディングの完全廃止はせず、選択肢は維持
  • 安全性と自由度の両立 を目指し、段階的に展開
  • ユーザー・開発者・規制当局のバランス調整 が今後の課題

参考: Android Developers Blog: 2026年の新しいセキュリティポリシー

Hackerたちの意見

これにはだいたい賛成なんだけど、24時間の待機時間はちょっと面倒だね。僕のスマホに入ってるアプリはほとんどF-Droidからインストールしてる。次に新しいスマホを手に入れたら、使えるようになるまで少なくとも24時間待たなきゃいけないってことか。次の個人用デバイスにはGrapheneを真剣に考えてるし、仕事用には一番安いiOSデバイスを探すつもり。

アプリが利用できないかもしれないね。多くの開発者がGoogleの侵入的なポリシーに直面して、単にやめてしまってる。彼らを責める気にはなれないよ。Newpipeみたいな便利なアプリにさよならだね。

もし雇い主が仕事用に電話を使わせたいなら、好きな電話を買ってくれればいいよ。わざわざ別に買うつもりはないから。

Motorolaのデバイスを考えるにはワクワクする時期だと思うけど、GrapheneOSと提携してるからね。でも、Googleが準拠しないデバイスでGoogle Playサービスをブロックするんじゃないかと心配してる。そうなると、GrapheneOSファンにとってはちょっと厳しい時期かも。Motorola版に変な壁のあるガーデンを押し込まれるのを見てると、気が滅入るよ。

Playストア以外の開発者に強制的にIDを求めるのは、F-Droidで手に入るオープンソースプロジェクトを潰してるよ。EUはこのプラットフォームのゲートキーピングを脅威として認識するべきだね。EU市民として、アメリカの会社に政府のIDを渡さなきゃいけないなんておかしいし、ブラックリストに載せられるかもしれないのに、他のEU市民とアプリを共有するためにそんなことをする必要はないよ。

これがEUの要件だって知ってた?

これは正当なサイドローディングに必要以上に痛手を与えることになるよ。詐欺を減らすためにね: - 開発者モードを有効にしなきゃいけない -- 一部のアプリ(例えば銀行アプリ)は、開発者モードがオンの時に動作を拒否するから、そういうアプリに依存してるなら、サイドローディングは無理ってこと? - アクティベートするのに1日の待機期間が必要(1回限り) -- サイドローディングが必要な人の大半は、1日待つことには抵抗があるだろうから、どうしても必要じゃない限りサイドローディングしないだろうね。これで新しいユーザーがPlayストアと同じ機能を持つアプリをサイドローディングする道が閉ざされちゃう。残りの手続き、再起動や確認、インストール前の警告だけでも「ユーザーを守る」には十分だけど、前の2つのポイントを見ると、サイドローディングを面倒にして多くの人がやらなくなるようにするためのものだってことが明らかだね(開発者モードが必要だし)。

機能を有効にする時に1日待つのは一度だけだよ。開発者モードを有効にするのが問題になるかもしれないけど、主に画面の下に隠れていて、複数のタッチが必要だからだね。データポイントとして、2011年からずっとすべてのデバイスで開発者モードを有効にしてるけど、銀行アプリがそれに文句を言ったことはないよ。ただ、国によって銀行システムが違うから、状況によるかもしれないね。

1日の待機期間は本当に恣意的だね。何かサポートデータを示したのかな?Googleはデータを誇示するのが大好きだし。GitHubのように、削除したいリポジトリの名前を入力させるアプローチの方が、技術に疎いユーザーを守るには十分だと思うし、技術に詳しいユーザーには自由に自分のデバイスを使わせることができると思う。

これが実施されるのを見てみようけど、「未確認」アプリを起動する時にパッケージマネージャーが開発者モードをチェックするとは思えないな、インストールする時だけだと思う。今のところ、インストール時にのみ検証サービスが問い合わせられてるみたいだし。

  • 開発者モードを有効にしなきゃいけない -- 一部のアプリ(例えば銀行アプリ)は、開発者モードがオンの時に動作を拒否するから、そういうアプリに依存してるなら、サイドローディングは無理ってこと? それってどのアプリのこと?開発者モードを有効にしても動かない銀行アプリにはまだ出会ったことがないよ。ルート化された電話に対してそういうことをするアプリは見たことがあるけど、それはまた別の話だね。僕は15年以上Androidを使ってるけど、ほぼずっと開発者モードをオンにしてて、アプリがそれで動かないなんてことは一度もなかったよ。
  • 開発者モードを有効にしないといけない -- 一部のアプリ(例えば、銀行アプリ)は開発者モードがオンの時に動かなくなるから、そういうアプリに依存してるなら、サイドロードできないってこと?こんにちは、私はAndroidのコミュニティエンゲージメントマネージャーです。高度なフローを有効にした後は、開発者オプションをずっとオンにしておく必要はないって理解しています。デバイスで変更を行ったら、それは有効になります。開発者オプションをオフにすると、高度なフローをオフにするためには、まず開発者オプションを再度オンにしないといけません。>- アクティベートするのに1日(1日!!!)待機期間がある -- サイドロードが必要なほとんどの人は、1日待つことを望まないだろうから、本当に必要な時以外はサイドロードしないと思います。ADBインストールは待機期間の影響を受けないので、特定の未登録アプリをすぐにインストールしたい場合はそれが選択肢になります。
Hacker Newsで議論の続きを見る