Googleは3月19日(米国時間)、Android端末でアプリを公式ストア外から直接導入する、いわゆる「サイドロード」を巡る新たな運用の詳細を発表した。2025年8月に発表した、サイドロード時に開発者認証を求める新たな仕組みに加え、未認証の開発者によるアプリでも、一定の手順を経れば利用者自身の判断で導入できる「アドバンスド・フロー(advanced flow)」を用意する。マルウェアや詐欺被害への対策を強化しつつ、開発者や技術に詳しいユーザー向けにAndroidの開放性も維持する
サイドロードとは、Google Play以外からアプリの実行ファイル(APKファイルなど)を入手し、Android端末にインストールする仕組みを指す。Androidの柔軟性を支えてきた一方で、偽アプリや金融詐欺の侵入経路としても悪用されてきた。Googleによると、インターネット経由でサイドロードされた提供元では、Google Playで配布されるアプリに比べて50倍超のマルウェアが検出されたという。
こうした状況を受け、Googleは2025年8月、サイドロードで導入できるアプリに開発者認証を義務付けることを発表した。2026年9月にブラジル、インドネシア、シンガポール、タイで適用を始め、2027年以降は他地域にも段階的に拡大する計画である。
一方で、こうした仕組みは、個人開発者やAndroidコミュニティの自由度を狭めるのではないかとの懸念も招いていた。そこでGoogleはリスクを理解した上級者、開発者や研究者などが未認証アプリを導入できるオプションとしてアドバンスド・フローを追加した。
アドバンスド・フローは、詐欺被害を防ぐための多段的なセキュリティプロセスとなっており、次の3段階を経て未認証開発者のアプリを導入できるようになる。
- 開発者モードを有効化し、誰かに操作を指示されていないかを確認する項目に同意したうえで、端末を再起動
- 24時間待機
- 生体認証または端末PINによる本人確認
24時間の待機時間が設けられているのは、攻撃者がソーシャルエンジニアリングを用いて利用者の不安を煽り、考える隙を与えずに不正アプリをインストールさせるケースが多いためだ。ユーザーが冷静に考える時間を確保することで、警告解除を急かす典型的な手口を断ち切る。
Googleはまた、小グループでアプリを共有できる限定配布アカウント(limited distribution account)も用意する。同アカウントでは、管理者が許可した最大20台に導入先が限られるが、登録料支払いと政府発行IDの提出が免除される。学生や趣味でアプリを作成する開発者などが登録料負担を抑えるオプションとなる。
