Google、Androidアプリの「野良インストール」に24時間の冷却期間を導入へ
GoogleがAndroidのアプリインストールに24時間待機・再起動・生体認証を含む6段階プロセスを導入。2026年8月から適用。
ニュース
kkm
Backend Engineer / AWS / Django
Google Play以外からアプリを入れるのに24時間待つことになる
Androidでは昔から、Google Play以外の場所からアプリをインストールできました。いわゆる「サイドロード(野良インストール)」です。APKファイルを直接ダウンロードして入れたり、F-Droidのような代替ストアを使ったり。iPhoneにはない、Androidの自由でした。
その自由に、Googleが制限をかけます。
2026年8月から導入される新ルールでは、Googleが身元を確認していない開発者のアプリをインストールする場合、24時間の待機期間が必要になります。端末の再起動、生体認証、複数回の確認画面を含む6段階のプロセスを経なければ、アプリは入りません。
9月に新しい開発者認証要件が発効し、ブラジル・インドネシア・シンガポール・タイの4カ国が先行適用。2027年にかけてグローバルに展開されます。
なぜGoogleは「野良アプリ」を制限するのか
Googleが問題にしているのは、電話口で被害者を誘導する詐欺の手口です。
「あなたの口座が不正利用されています」「家族が逮捕されました」――そう脅かしながら、詐欺師は被害者に設定画面を開かせ、セキュリティ警告を1つずつ無視させて、マルウェア入りのアプリをインストールさせます。電話をつないだまま、手取り足取り。
AndroidのプレジデントSameer Samatはこう説明しています。
「24時間あれば、家族が本当に逮捕されたのか確認できる。銀行口座が本当に攻撃されているのか調べられる。詐欺師の"今すぐ"という圧力を断ち切るための時間です」
実際、過去4か月だけで17のAndroidマルウェアファミリーが確認されています。Perseus、FvncBot、SeedSnatcherなど、端末の乗っ取りや金融詐欺を狙うものが中心で、トルコやイタリアで被害が集中しています。
インストールまでの6つのステップ
未検証開発者のアプリをインストールするには、以下の全てを通過する必要があります。
| ステップ | 操作内容 | 狙い |
|---|---|---|
| 1. 開発者モードの有効化 | 設定 → 端末情報 → ビルド番号を7回タップ | 簡単にはたどり着けない 場所に隠す |
| 2. 強制確認 | 「誰かに指示されて いませんか?」の確認画面 | 詐欺師の遠隔指導を 本人に意識させる |
| 3. 端末の再起動 | 端末を再起動して もう一度操作する | 通話を切断し、 遠隔監視を遮断する |
| 4. 24時間待機 | 「保護待機期間」として 24時間のロック | 冷静に考える時間を 強制的に確保 |
| 5. 再認証 | 指紋・顔認証 またはPINで本人確認 | 他人が操作して いないことを保証 |
| 6. インストール | 「7日間のみ許可」 または「無期限に許可」を選択 | 恒久的な穴を開けず に済むオプション |
Google自身も、この手順が「煩わしい」ことは認めています。ただ、それを意図的な設計だとしています。摩擦が大きいほど、「今すぐインストールしろ」という詐欺師の圧力に対する防壁になるという考え方です。
アプリ配布に必要な開発者認証とは
24時間待機を回避する方法は1つあります。開発者がGoogleの認証を受けることです。
認証には以下が必要です。
- ― 身元確認: 政府発行の身分証明書の提出
- ― 署名キーの登録: アプリの署名キーのコピーをGoogleにアップロード
- ― 登録料: 25ドル(Google Playの開発者登録と同額)
ただし、趣味の開発者や学生向けに「限定配布アカウント」も用意されます。20台のデバイスまでなら、身分証の提出も登録料も不要でアプリを共有できます。大学の課題や個人プロジェクトには十分な枠です。
開発者向けのADB経由なら制限を受けない
エンジニアにとって重要なのは、ADB(Android Debug Bridge)経由のインストールには24時間待機が適用されないという点です。
ADBとは、パソコンとAndroid端末をUSBケーブルでつないで操作する開発者向けのツールです。コマンドラインから直接APKをインストールできるので、テストやデバッグに日常的に使われています。
つまり、この制限は「パソコンを持っていて、ADBの使い方を知っている人」には実質的に効きません。Googleの狙いは技術者を縛ることではなく、電話口で焦らされている一般の人を守ることだということがわかります。
ただし、この「知っている人だけ回避できる」構造は、別の問題も生みます。技術力のある人とない人の間に、セキュリティ体験の格差ができるということです。
対象国と適用スケジュール
| 時期 | 内容 |
|---|---|
| 2026年8月 | 限定配布アカウントと 6段階プロセスが利用可能に |
| 2026年9月 | 新しい開発者認証要件が発効 先行4カ国に適用開始 |
| 2027年以降 | グローバル展開 |
先行適用の4カ国はブラジル・インドネシア・シンガポール・タイです。いずれも電話詐欺やマルウェア被害の報告が多い地域で、Googleが「最も効果が見込める場所」から始めるという判断です。
日本への適用時期は明言されていませんが、2027年のグローバル展開に含まれる見込みです。
「開かれたAndroid」の看板は残るのか
Androidが「iPhoneと違って自由にアプリを入れられるOS」だったのは事実です。その自由を悪用する人が増えた結果、Googleは自由を「残しつつ面倒にする」という落としどころを選びました。
マンションのエントランスにオートロックをつけたようなものです。住人は鍵を持っていれば出入りできる。でも、宅配業者を装った人が「今すぐ開けてください」と言っても、管理人が24時間確認するまで入れない。不便だけど、住人を守るためだと言われれば反論しにくい。
問題は「管理人」の権限が大きくなりすぎることです。Googleが開発者の身元確認を握り、署名キーの提出を求め、25ドルの料金を取る。代替ストアや個人開発者にとって、Google Playの外でアプリを配る敷居は確実に上がります。
「安全のためです」で始まった変更が、いつの間にかプラットフォームの支配力を強める道具になっていないか。それを検証するのは、24時間待つ間にできることかもしれません。
参照元
- 1. Ars Technica — Google details new 24-hour process to sideload unverified Android apps
- 2. Android Authority — Android's new sideloading rules are here
- 3. The Hacker News — Google Adds 24-Hour Wait for Unverified App Sideloading
- 4. PhoneArena — Google's new sideloading rules may force you to wait 24 hours
- 5. Gadget Hacks — Bypass Android's 24-Hour APK Install Delay Via ADB
- 6. Phandroid — Google's Android sideloading rules just got a whole lot more complicated
- 7. Business Standard — Google eases sideloading of Android apps with focus on safety
- 8. Hacker News — Google details new 24-hour process to sideload unverified Android apps