はじめに

皆さん、スマートフォンは何をお使いでしょうか？新端末が発売されたばかりのiPhone？それともAndroid？
Androidをお使いの方の中には、Google Play以外からのアプリをインストール(サイドローディング)して楽しんだりされてる方もいらっしゃるかもしれません。もしかすると、自分で作ったアプリを入れている方も？

そんな自由度が魅力であるAndroidですが、ストア外のアプリは危険度が高いものがあり、マルウェアが端末に入ってくる経路の一つになっていました。そのような状況もあり、Googleは、ストア以外でのアプリの提供について、Androidがリリースされて以来の大きな方針転換をすることになりました。
今回はこの内容について説明いたします。(2025年9月16日時点の情報であるため、この後更新される可能性があります)

Android Developer Verificationの導入

2025年8月下旬、Googleは2026年9月より一部地域を皮切りにAndroid Developer Verificationを導入することを発表しました^[1]。

これは、名前の通り、開発者の検証のための仕組みで、認定されたAndroidデバイスにインストールするアプリは、開発者の登録が義務化されます。登録の際は、身元の確認も必要となります。
この仕組みにより、Googleは、サイドローディングによるマルウェアや詐欺アプリがインストールされるリスクを低減させようとしています。

これまでも、Androidのアプリには、開発者の署名がなされていました。しかし、この署名はアプリの開発者が何者であるかを確認するためのものではありませんでした。これは、Androidの開発者署名は、インストール済みのアプリと、その更新用のアプリが、同一の開発者によって作られたものである事を確認するためのものであったからです。
パッケージ名と署名の組が同じであれば、アプリケーションを同一としてみなし、更新を行うために用いられます。この機能により、別の開発者が作ったパッケージ名が同じ偽のアプリのインストールを防ぐことができますが、その偽アプリが先にインストールされることを防いでくれるものではありません。

しかし、Android Developer Verificationによって、インストール可能なアプリは、Googleが身元確認をした開発者によって署名された、言い換えれば開発されたことが保証されるようになります。登録が行われていないアプリは、アプリをインストールする際にブロックされます。ただし、気を付けなくてはならないのは、あくまで開発者の検証であって、アプリの中身の検証では無いということです。

Android Developer Verificationへの対応

Android Developer Verificationが導入されるにあたり、開発者はどうすればよいのでしょうか。まだ開始されていませんので、公式ページ^[2]の情報を整理してみたいと思います。

何をする必要があるか

開発者の登録は、開発者がどの立場であるかによって違います。

1. Google Playでアプリを配信する開発者
2. Google Play以外でのみアプリを配信する開発者
3. 学生及び愛好家の開発者

1.のGoogle Playでアプリを配信する開発者については、すでに対応完了している可能性があるとされています。この場合は特に行う事は今のところありません。このタイプの開発者がGoogle Play以外に配信を行う場合は、Play Consoleから手動登録出来るとのことです。

2.のGoogle Play以外でのみアプリを配信する開発者向けには、新しいAndroid Developer Consoleが用意される見通しです。このコンソールで、Full Distributionタイプのアカウントを作成することで、利用可能となります。この際、$25が必要となります。
このタイプのアカウントでは、扱えるアプリやインストール数は無制限となり、以下の情報による身元確認が必要です。アプリの登録はパッケージ名と証明書のSHA256フィンガープリントを用います。

• 名前と住所(身分証明書による確認が必要)
• 電子メールアドレスと電話番号(ワンタイムパスワード用)
• 組織のWebサイト(組織の場合)
• D-U-N-S番号(組織の場合)

3.の学生及び愛好家の開発者には、新しいAndroid Developer Consoleにて、Limited Distributionタイプのアカウントが用意される事になっています。名前の通り、アプリは限定的な配布となり、扱えるアプリ数とインストール数は制限されます。他方、無料で作成でき、公式では政府発行の身分証明書を必要としないとされています。

なお、FAQ^[3]によると、開発段階における、adbコマンドによるアプリインストールは登録なしで行えるとのことです。このことから、3.のタイプのアカウントも、やはりアプリの登録自体は必要となるのでしょう。

いつまでに対応が必要か

Android Developer Verificationは2026年9月より開始です、ただし、それは一部の国(ブラジル、インドネシア、シンガポール、タイ)からであり、全世界には2027年より展開されます。では、それまで対応が必要ないのかというわけではありません。以下のスケジュールに基づき、順次情報公開と受付が開始されますので、出来るだけ早く対応したほうが良いでしょう。

• 2025年10月：早期アクセスの開始。段階的に招待状が送信される。
• 2026年3月：全てのデロッパーが手続き可能。
• 2026年9月：ブラジル、インドネシア、シンガポール、タイで有効に。
• 2027年以降：全世界を対象に展開予定

Android Developer Verificationの気になるところ

まだ告知されてから1ケ月もたっておらず、順次FAQが追加されている状況です。情報を追うには、早期アクセスをに登録するのも良いと思います。
とは言え、現状で気になるところも多く、ここではそのいくつかを推測とともに挙げてみたいと思います。(お答えご存じの方がいたら、是非ご指摘ください)

すべてのAndroidが対象なのか

この仕組みの対象は、認定されたAndroidデバイスとなっています。このことから、Google Play 開発者サービスを利用するのではないかと思われます。この推測が正しいならば、現在Google Play 開発者サービスのサポートOSバージョン6.0以上であるため、Android Developer Verificationは5.1以下のデバイスは対象外となる可能性があります。(10年以上前の端末になりますが...)

重複するパッケージ名の処理が適用されるタイミング

今回の発表とともに、パッケージ名が重複した際に、パッケージ名を登録できる開発者を決めるルールが掲載されています。しかしながら、この重複の判定がどのタイミングで行われるかが不明瞭です。
判定は署名鍵のインストール数で行われる事になっており、同一パッケージ名の中でのシェアや総数によって判断されます。
ここで疑問なのが、一度重複せずに登録できたものの、後日判定が有利な開発者が同名で登録した時に判定が覆ることがあるのかという点です。これはかなり致命的ですので、そんなことはないと思うのですが、そうなるとこの判定はある一定期間に行われるということなのか気になります。

おわりに

Androidは、誰でもアプリを開発して配布出来るという、自由度の高さが魅力でもあり、それは危険を呼び込む要因でもありました。しかし、GoogleはAndroidのエコシステムをいかに安全にするかという施策を打ち出しており、Google Playでの開発者の確認に続き、ストア外にもその方針を広げることとなりました。多くの人はGoogle Playからのアプリインストールを行っており、おそらく影響を受ける人は多くないものの、自由というイメージからの方針転換と受け取る方もいらっしゃるかと思います。この辺りは、Googleの主張する、「インターネットよりサイドロードされたソースにはGoogle Playより50倍以上のマルウェアが発見された」という調査により、やむを得ない決断をしたのではないかと思います。

今回の施策の初報を見たとき、macOSでアプリをストア外で配布する際の公証制度に近い印象を受けました。(公証はアプリのセキュリティチェックもありますし、仕組みも違います)。自由度の高さと安全性を担保するためのバランスについて、使い方や取り巻く状況によって違っては来るものの、ある程度解は似てくるのかもしれません。

脚注

1. A new layer of security for certified Android devices, Android Developers Blog, https://android-developers.googleblog.com/2025/08/elevating-android-security.html ↩︎

2. Android のセキュリティを強化して、オープンで安全な状態を維持する, Android Developers, https://developer.android.com/developer-verification?hl=ja ↩︎

3. よくある質問, Android Developers, https://developer.android.com/developer-verification/guides/faq?hl=ja ↩︎