ハクソク

世界を動かす技術を、日本語で。

Android開発者認証

56日前原文(android-developers.googleblog.com)

概要

  • Android の安全性向上策として、 開発者認証 の導入を発表
  • Google Play外 のアプリ配布にも認証が必要となる新体制
  • ユーザー体験 はほとんど変わらず、開発者への影響が中心
  • 段階的導入 で、まず一部地域から開始し、将来的に世界展開
  • 学生・趣味開発者 向けの無料アカウントも用意

Android開発者認証の導入と背景

  • Android は「誰でも使える」オープンなプラットフォームを目指す
  • サイドロード(Google Play外) からのマルウェア発生率が 90倍以上 と判明
  • 悪意ある開発者の匿名性を防ぐため、 開発者認証 を導入
  • コミュニティと協力し、 安全性とオープン性の両立 を追求

開発者認証の開始と手順

  • Android Developer ConsolePlay Console で認証手続きが可能
  • Google Play外 配布の場合、Android Developer Consoleでアカウント作成
  • Play Console利用者は、既に認証済みの場合が多い
  • 今年後半からユーザー向けの変更が段階的に適用
  • 認証済みアプリは、ユーザー体験がほぼ変わらない

ユーザー体験と今後のスケジュール

  • ユーザーのダウンロード体験 は、2026年9月まで大きな変更なし
  • 最初は ブラジル、インドネシア、シンガポール、タイ で展開
  • 2027年以降、世界規模で拡大予定
  • 未登録アプリADBアドバンストフロー 経由でのみインストール可
  • パワーユーザー 向けには、柔軟なインストール方法を維持

開発者への配慮と新機能

  • 開発者の声を反映し、 既存ワークフローに統合 した認証体験を提供
  • Android Studio 内で、署名済みApp BundleやAPK生成時に登録状況を確認可能
  • Play Console での認証済み開発者は、自動でアプリ登録が進行
    • 手動登録が必要な場合は個別案内
  • Play外配布アプリ もPlay Consoleから登録可能
  • 学生・趣味開発者 向けに、 無料・政府発行ID不要 の限定配布アカウントを提供(最大20台まで)
  • 2026年6月より早期アクセス受付、8月にグローバル展開

パワーユーザーと柔軟性の維持

  • アドバンストフローADB を利用したアプリインストールが可能
  • 一般ユーザーの安全性確保と、パワーユーザーの自由度維持の両立

今後の展開と重要な日程

  • 2026年4月:「 Android Developer Verifier」サービスをGoogleシステムサービスに導入
  • 2026年6月:学生・趣味開発者向け限定配布アカウントの早期アクセス開始
  • 2026年8月:限定配布アカウントとアドバンストフローのグローバル展開
  • 2026年9月30日:対象4カ国で認証必須化、未登録アプリはADB等でのみインストール可
  • 2027年以降:グローバル展開

まとめ

  • Android の「 オープンかつ安全」という理念のもと、開発者認証を導入
  • 開発者・学生・パワーユーザーそれぞれに配慮した新体制
  • 詳細や手続きは 公式開発者ガイド で随時案内

Hackerたちの意見

4月から、Android Developer Verifierがデバイスにインストールされるみたい。つまり、サイドロードしたアプリが開発者の政府IDで「確認」されているかどうかをチェックするシステムアプリが導入されるってこと?このプロセスは、ユーザーが開発者設定で「高度なフロー」を有効にしているかどうかに関係なく行われるんだよね?

グラフェンピクセルでGoogleなしでやっていく理由には十分だと思う。でも、ほんとに辛いのは、できない人たちだよね。俺はノートパソコンで財務管理や2FAができるから、Google Playをインストールしておく理由はそれが最後だったけど、結局は便利さのためだけなんだよね。(他の人には必須なのはわかってるけど。)このシステムアプリはグラフェンOSのGoogle Playサンドボックスでどう扱われるんだろう?

デバッガーを使うためにライセンスが必要だっていうエッセイは、ソフトウェアの自由について深いポイントを伝えるための不条理な過剰解釈だったはずだよね?なんか、マニュアルとして使われてるみたいに見える。

実際、Androidユーザーの何パーセントがこれを望んでるんだろう?彼らはそれを知っているのか、気にしているのか?2010年からAndroidを使ってるけど、Appleのエコシステムにはないオープンさがあったからなんだ。俺はこれを望んでいないし、他のパワーユーザー(もっといい言葉があればいいんだけど)もほとんどそうだと思う。俺はほぼデグーグル化したデバイスを使ってるけど、これで本当に決定的になった。何年も本当のLinuxフォンを探し続けてきたけど、今がその検索と移行計画を真剣に考える時期のようだ。

でもでも、それはあなたのためのセキュリティなんだよ!あなたは守られなきゃいけない!Androidはしばらく前からオープンソースじゃない。最初はデバイス認証を推進して、OEMがより良いフレームワークを作る能力を奪ったんだ。それから多くのオープンソースパッケージをAndroidから取り除いて、Playサービスを通じて自分たちが管理するアプリケーションとして再配布した。さらに、パッケージの公開を難しくして、恣意的にあなたとの関係を切ったり、報酬を取り消したりするルールをたくさん作った。今彼らが実際にやっているのは、個々の開発者がアプリケーションを提供する能力を奪うことなんだ。一部の人はコストはそれほど高くないと言うけど、(1)アメリカ人にとってはドルで見ればそうかもしれないし、(2)GoogleとAppleはその数字をすぐに引き上げるだろう。たとえそうでなくても、何かに同意しない場合や、自分の家族のウィキやメッセンジャーなどの独自のバージョンを持ちたいと思ったら、彼らはそれを当局に知らせることができるんだ。これは狂ってる…。

アプリをサイドロードできることが、俺が10年前にAndroidに乗り換えた理由なんだ。

近似値で言うと、パワーユーザーはAndroidユーザーの0%を占めてると思う。

プレイストアにマルウェアや詐欺が少なくなればいいけど、それは開発者認証の問題とは直接関係ないよね。

Androidユーザーの何%がこれを実際に望んでるの?彼らは知ってるの?気にしてるの? 2%だって、keepandroidopen.orgの調査によると。

Androidは毎日Apple化が進んでる。ひどいし、どんどんAPIが制限されたり消えたりして、開発者が使える機能がさらに制限されてる。

Androidユーザーの何%がこれを本当に望んでるの?彼らはそれを知ってるの?もしAppleがAPKみたいにアプリをインストールできるようにすると発表したら、Appleが全てをコントロールしてほしいから反対する人たちがここに集まるだろうね。Epic対Appleやデジタル市場法の議論で、そういう人たちを見かけたことがあるよ。

Google/Androidは、怪しいアプリでマーケットプレイスをスパムするAIボットを望んでないんだよね。アプリを認証された個人に結びつければ、監査プロセスが楽になるし、必要ならユーザーの国の当局との連携もスムーズになるよ(例えば、子供の虐待を助長するアプリとか)。

グラフェンに切り替える時だね。

それは本当にひどいね。俺が使っていて、これからも使いたいオープンソースのAndroidアプリが5つ以上あるけど、Playストアにはなくて、代わりに代替ストア(ZapstoreやObtainiumみたいな)からしか入手できないんだ。もしプリインストールされたグラフェンOSの電話(次のモトローラの電話みたいな)を手に入れたら、この愚かなことを避けられるのかな?それともグラフェンでもapkのインストールを防がれるの?

GrapheneはAPKを許可してるよ。

ねえ、ボス:「4000万人のユーザーがモバイルでYouTubeプレミアムのクラック版を使ってるんだけど、どうしよう?」

YouTube Premiumにお金払ってるけど、ユーザー体験がいいから別のアプリ使ってる。普通のYouTubeアプリではバックグラウンド再生ができるはずなのに、動画がよく一時停止するんだよね。戻ってアプリをリロードしないといけない。iPod touchの頃は全然問題なかったのに、プレミアムの前はね。技術が退化してる気がする。ファミリープラン(安い)に入ってて、これを音楽プレーヤーとして使ってるから、なんでやってるのか聞かれるときのためにね。

まさにこれだね。それに、その立ち上げ国リストは、クラックされたYouTube Premiumが一番多い国々だと思う。アプリの海賊版は、改造APKをコピーすることで大きな問題になってて、みんなのおばあちゃんもやってるよ。

Androidの認証って、本当にひどい体験だよね。最近、会社のために開発者アカウントを購入しようと思ったんだけど、今のところはこんな感じ。1) 支払いプロファイルを作成するために、会社のDUNS番号とかを一度提供した。これ、かなり前にやったから詳細は覚えてないけど、結構手間のかかる認証プロセスだったし、ビジネス支払いプロファイルとしては認証済みってなってる。2) 後で、支払いのステップでパスポートと銀行明細書を使って自分を認証した。ちゃんとしたHSBCの銀行カードで支払うためにね。怪しいプリペイドカードとかは受け付けられないし。3) 支払いが終わったら、今度はパスポートと法人証明書か他の会社の書類で再度身分を確認する必要があるって言われた。数日で認証されることを願ってる。待ってる間に、前のステップが終わったらウェブサイトとメールの認証も必要だって言われた。支払い前にメールは何度も認証済みなのに。もう、痛いし遅いしイライラするよ。ステップで失敗すると(つまり、認証に数日かかることを支払いの時に言われる)、また最初からフォームをやり直さなきゃいけない。なんでAndroidを使わないか思い出したよ。プロセスを管理してる人がいないみたいで、その結果、同じ会社で働いてる何人かの人の要求を満たすための、未完成でクソみたいな体験になってる。

あなたが言ってるのは「壊れてる」んじゃなくて、プロセスそのもので、実際には失敗してないみたいだね。Googleから認証済みの「ビジネス」開発者アカウントを取得する経験は、Appleからのものと似てるけど、こっちは一回限りの手数料で、Appleよりもずっと安いよ。確かに、いくつかのハードルはあるけど、基本的にはわかりやすい。これらのハードルの要件についてはコメントしないけど、そういうのが存在するのは確かにクソだと思う。でも、彼らのプラットフォームだから、彼らのルールだよね。そもそも、どんな「体験」を期待してるの?

Google PlayギフトカードやGoogle Playポイントで支払えるの?もし無理なら、なんで?

これがビジネスアカウントなら、なんでパスポートが必要なの?それに、なんでビジネス用のカードじゃなくて個人の銀行カードで支払ってるの?私が勘違いしてるのかな?

Google Playの体験は最悪だね。最近のことを挙げると、1) アプリが拒否されてギャンブルアプリってラベル付けされたから再提出したんだけど、実際は全然違った。ほんの15秒見ればわかることなのに。これも一応異議申し立てしたけど、サポートは全然役に立たなかった。結局、1単語変えて再提出したら、問題なく承認されたよ。2) 既存のアプリが何年もPlayストアにあったのに、500インストールくらいの良いアプリなのに、理由もなく新しいバージョンを提出しなきゃいけなかった… 顧客の開発者アカウントをアクティブに保つためだけにね。これらはここ1、2ヶ月で経験した問題の一部。毎回、Googleサポートは全く役に立たないし、異議申し立てのプロセスも冗談みたいだよ。

所有者が多すぎる感じ。各ステップは理解できるけど、全体としては意味がわからない。

それ、私もApple開発者としての経験にすごく似てるよ。あなたの説明からはわからないけど、認証プロセスが終わる前にお金を取られて、AIが私の顔をIDと結びつけられなかったから返金もしてくれなかった。リアルな人とつながることもできなかったし(最初の十回くらいは向こうのせいだったけど、その後は写真に中指を入れた私のせいかも)。このクソみたいな状況を回避する方法はあるのかな?

「安全な」アプリストアは、公開監査可能なランナーでコンパイルされたオープンソースアプリを推奨し、優先するべきだね。

F-Droidは、ユーザーの安全を考えたアプリストアの姿そのものだよ。誰も、トラッキングしたりデータを売ったりするアプリをインストールするように騙されることはない。

Androidはみんなのためのもの。オープンで安全なプラットフォームに基づいて作られてる。ユーザーはどこからアプリを入手しても、自信を持ってインストールできるべきだ。これを聞いた瞬間、後に続くことがユーザーや開発者にとってひどいことになるってわかる。驚き驚き、やっぱりその通りだった。サイドロードしたアプリを「検証」するためのソフトウェアは、悪い、ユーザーに反するアイデアだ。

なんか、ベタベタしたHRが「ちょっと話そうよ」って言ってくる感じ。すぐにそれがただの話じゃないってわかるよね。

keepandroidopen.orgのチームの一員で、このプログラムに反対するオープンレターの署名を集めてる。発表されて以来、Googleにこのプログラムを撤回させようと頑張ってるんだ。現状では、Android Developer Verification(ADV)はF-DroidやObtainium、Google Playストアの競合他社にとって死刑宣告みたいなもんだ。公の反対が圧倒的なのに、まだこれを押し通そうとしてるのが残念だ。プログラムに反対する理由はたくさんあるけど、いくつかの主要な理由は以下の通り:1. 自分のコンピュータを持ってるんだから、どのソフトウェアをインストールするかは自分で決めるべきだよね。2. 「マルウェア」ってのはGoogleが言うことを意味するもので、彼らの利用規約は日々変わる。今日は銀行詐欺がマルウェア、明日は…広告ブロック?VPN?彼らの決定は見直しできないし、不透明で、特定の(合法な)ソフトウェアをブロックする商業的なインセンティブが明らかにある。3. アメリカの企業を通じて世界中の開発者登録を中央集権化するのは、現在の政権のルール(や気まぐれ)に従うことになる。制裁対象国の市民や制裁対象の団体(国際刑事裁判所など)のメンバーは、登録を法的に禁止されるから、世界中どこでもソフトウェアを作ったり配布したりできなくなる(アメリカだけじゃない)。4. GoogleがADVが守ると言ってるシナリオ、例えば脆弱なユーザーを騙して詐欺アプリをインストールさせる高圧的な電話は、Androidのセキュリティが年々改善されてきたことで既に対処されてる。例えば、Android 13で導入された「強化された詐欺防止」機能とかね(Android 15で拡張された)。Androidは20年近くの歴史の中でセキュリティ機能を徐々に改善してきた。そんな急激で極端な制限を正当化するような証拠はどこにもない。5. 自分の身分証明書をアップロードするためにGoogleにお金を払わなきゃいけないなんて、プラットフォームを作った開発者たちに対するひどい侮辱だ。これまでに浴びせられた全ての軽蔑に値するし、こういういじめに立ち向かう勇気のある数少ない国々からの規制の目が必要だ。私たちは、開発者がこのプログラムにサインアップしたり、支持したりすることを強くお勧めしない。

しかし、最近の分析では、サイドロードされたソースからのマルウェアがGoogle Playの90倍以上見つかりました。Googleは高齢者の電話を見たことがないようで、完全にクソみたいなもので感染していて、ポップアップ広告(他のアプリに重なる形で)まで含まれてるけど、すべてGPlayからダウンロードされたものなんだよね。

100%同意。Googleは「マルウェア」の定義を自社の都合に合わせて変えてるね。広告に広告、さらにトラッキングがついてるのを「高級ワイン」って言ってる感じ。これがマルウェアだって認めたら、株主が大打撃を受けるから、絶対にマルウェアにはできないんだよね。マルウェアの定義は、ユーザーがデバイスを操作するのを妨げるソフトウェアのことだよ。

どっちも真実かもしれないね。サイドロードされたアプリは悪意がある可能性が高いけど、インストールされるマルウェアやクソアプリのほとんどはGoogle Playから来てる可能性が高いよ。

もし彼らが認証を引き受けるなら、責任も引き受けるの?おばあちゃんがアプリを通じて詐欺にあったら、彼らを訴えることができるの?

良い試みだけど、無理だよ。クソは下に流れるだけだから。