Googleは、公式のGoogle Playアプリストア以外から入手したサイドロードアプリによるマルウェアのインストールを防ぐため、新たなAndroid向け防御策「開発者認証」を導入します。
Google Play上のアプリについては、2023年8月31日からD-U-N-S(Data Universal Numbering System)番号の提供が義務付けられていました。
Googleによれば、これによりプラットフォーム上のマルウェアが大幅に減少する効果があったといいます。しかし、この仕組みはアプリストア外の広大な開発者エコシステムには適用されていませんでした。
「悪意のある攻撃者が匿名性の背後に隠れ、開発者になりすましたり、ブランドイメージを利用して巧妙な偽アプリを作成し、ユーザーに被害を与えている事例を私たちは見てきました」とGoogleの発表は述べています。
「この脅威の規模は深刻です。最近の分析では、インターネットからサイドロードされたアプリのマルウェアは、Google Play経由のアプリの50倍以上に上ることが分かりました。」
この脅威はGoogle Play外でより顕著ですが、開発者認証の要件はGoogle Play上のアプリとサードパーティのアプリストア上のアプリの両方に適用されます。
2026年からは、認証済みAndroidデバイスにインストールされるすべてのアプリが、Googleで本人確認を済ませた開発者によるものでなければなりません。
開発者認証プログラムへの早期アクセスは今年10月に開始され、2026年3月にはすべてのAndroidアプリ開発者に開放されます。
2026年9月には、ブラジル、インドネシア、シンガポール、タイで本人確認要件が必須となり、2027年には全世界に展開される予定です。
期待される効果としては、サイドロードされた非準拠アプリが、認証済みデバイス上でセキュリティ警告とともにOSによってブロックされることです。
認証済みAndroidデバイスとは、Googleの互換性テストスイート(CTS)に合格し、Google Playサービス、Playストア、Play Protectを搭載して出荷が認められた端末を指します。
実際には、これにはSamsung、Xiaomi、Motorola、OnePlus、Oppo、Vivo、Google Pixelシリーズなど、主流のすべてのデバイスが含まれます。
非認証デバイスは、HuaweiやAmazon Fireタブレット、または疑わしい部品を使用した中国製の怪しいTVボックスやスマートフォンなど、OSイメージが大幅に改変された端末です。
これらのデバイスは新しいルールの適用対象外であり、ユーザーは引き続き、未認証・匿名の開発者からAPKをサイドロードすることが可能です。
