Googleは、公式のGoogle Playアプリストア以外から入手したサイドローディングアプリによるマルウェアのインストールを防ぐため、「開発者認証」と呼ばれる新たなAndroid向け防御策を導入します。
Google Play上のアプリについては、2023年8月31日よりD-U-N-S(Data Universal Numbering System)番号の提供がパブリッシャーに義務付けられていました。
Googleによれば、これによりプラットフォーム上のマルウェアが大幅に減少する効果があったとのことです。しかし、この仕組みはアプリストア外の広大な開発者エコシステムには適用されていませんでした。
「悪意のあるアクターが匿名性の背後に隠れ、開発者になりすましたりブランドイメージを利用して、信じ込ませる偽アプリを作成することでユーザーに被害を与えている事例を私たちは見てきました」とGoogleの発表には記載されています。
「この脅威の規模は重大です。最近の分析では、インターネットからサイドローディングされたソースによるマルウェアは、Google Play経由のアプリよりも50倍以上多いことが判明しました。」
脅威はGoogle Play外でより多く見られますが、開発者認証の要件はGoogle Play上のアプリとサードパーティのアプリストアで配布されるアプリの両方に適用されます。
2026年からは、認証済みのAndroidデバイスにインストールされるすべてのアプリが、Googleによって本人確認された開発者から提供されている必要があります。
開発者認証プログラムの早期アクセスは今年10月に開始され、2026年3月にはすべてのAndroidアプリ開発者に開放されます。
2026年9月には、ブラジル、インドネシア、シンガポール、タイで本人確認要件が必須となり、2027年にはグローバルに展開される予定です。
期待される効果としては、サイドローディングや非準拠のアプリが、認証済みデバイス上でセキュリティ警告とともにOSによってブロックされることです。
認証済みAndroidデバイスとは、Googleの互換性テストスイート(CTS)に合格し、Google Playサービス、Playストア、Play Protectを搭載して出荷が認められている端末を指します。
実際には、Samsung、Xiaomi、Motorola、OnePlus、Oppo、Vivo、Google Pixelシリーズなど、主流のデバイスがこれに該当します。
非認証デバイスには、Huawei製品、Amazon Fireタブレット、または大幅に改造されたOSイメージや疑わしいコンポーネントを使用している中国製の怪しいTVボックスやスマートフォンなどが含まれます。
これらのデバイスは新しい規則の適用対象外であり、ユーザーは引き続き未認証・匿名の開発者からAPKをサイドローディングすることが可能です。
