未検証のAndroidアプリをサイドロードするためのGoogleの新しい24時間手順を公開

• Googleは2026年9月から開発者検証プログラムを実施し、認証されていないアプリのインストールを制限する予定
• 熟練ユーザーは検証を回避してアプリをインストールできるが、隠された設定を通じて24時間の待機時間を経て初めて完全に適用される
• Googleはこの遅延をソーシャルエンジニアリング攻撃の防止のための措置だと説明し、ユーザーが衝動的に悪意あるアプリをインストールできないように設計したとしている
• 今回の変更はAndroidエコシステムのセキュリティ強化とユーザーの選択権のバランスを目指すもので、2027年に世界全体へ拡大される予定

Androidサイドローディング方針の変更

• Googleは2026年からAndroid全体でのマルウェア拡散防止に向けた大規模な変更を進める
  • 9月から開発者検証プログラムにより、認証済みの開発者のみがアプリを配布可能
  • 検証には本人確認、署名鍵の提出、25ドルの手数料が必要
• 未検証の開発者によるアプリはデフォルトでインストール不可
  • ただし、**「高度な手順（advanced flow）」**を通じて例外的にインストール可能

高度な手順（Advanced Flow）の仕組み

• この機能は開発者設定メニューのかなり深い場所に隠されている
  • ユーザーは「About Phone」でビルド番号を7回タップして開発者向けオプションを有効にする必要がある
  • その後、**「Allow Unverified Packages」**項目を見つけてトグルを有効にし、PIN入力とデバイス再起動が必要
  • その後24時間待機した後、再び設定メニューに戻って「一時許可（7日間）」または「無期限許可」を選択できる
• 24時間の遅延は衝動的なインストールを防ぐためのセキュリティ設計
  • Googleはこの期間がソーシャルエンジニアリング詐欺攻撃の遮断に役立つと説明
  • たとえば、攻撃者が「今すぐアプリをインストールしなければならない」と圧力をかける状況を和らげる

セキュリティとユーザー選択のバランス

• Googleは3億台以上のアクティブデバイスを踏まえ、プラットフォームの開放性と安全性を同時に維持しなければならないと強調
  • 「プラットフォームが安全でなければ、ユーザーにも開発者にも損害がある」という立場
• 検証プロセスはアプリ内容の検閲ではなく本人確認が目的
  • ユーザーはアプリがマルウェア配布者やなりすましから来たものではないことを確認できる
  • マルウェアの定義は「ユーザーの意図なくデバイスや個人データを損なうアプリ」と規定
• Googleは個人的目的のルート化ツールや広告ブロックアプリなどは検証上の問題とは見なしていない

プライバシーおよび法的懸念

• 一部のプライバシー擁護者は、検証データベースが独立系開発者に法的リスクをもたらす可能性を懸念
  • Googleは不当な司法命令に対してユーザーデータを保護すると明らかにしている
  • また、開発者の身元情報を永久保存しない計画にも言及
• **制裁対象国（キューバ、イランなど）**の開発者が手数料により検証を受けられない可能性への懸念も存在
  • Googleは国ごとに検証手順が異なる可能性があり、特定地域を排除する目的ではないと説明

段階的な実施日程

• 2026年9月からブラジル、シンガポール、インドネシア、タイで先行実施
  • これらの地域はなりすましやフィッシング型詐欺が比較的多い
• その後2027年に世界全体へ拡大適用される予定
• Googleは**Android 16.1（2025年発売）**に検証機能を統合しており、
  すべてのサポート対象デバイスで同一のUIと警告画面を提供する計画
• GoogleはPlay外からアプリをインストールする場合、マルウェア感染リスクが50倍高いと強調
  • 2023年のPlayストアにおける開発者本人確認導入が今回の方針の基盤となった
  • 一部の国ではセキュリティ問題解決のための規制圧力が存在する