2024 年に実施した Android アプリのエコシステムを安全に保つための取り組み

Android と Google Play ストアは、世界中に数十億のユーザーと数百万の便利なアプリがダウンロードできる活気あるエコシステムです。このエコシステムでユーザーと開発者 ( デベロッパー ) の皆さんの安全を保つことは、Google の最優先事項です。そのため、コミュニティを保護し、不正行為を防ぐために、Google は毎年多くの取り組みへの投資を継続しています。これにより、ユーザーは Google Play からダウンロードするアプリを信頼することができ、開発者は繁栄するビジネスを構築することができます。

これらの投資に基づき、Google が昨年行った取り組みには、AI を活用した脅威検出、より強力なプライバシー ポリシー、強化された開発者 ツール、業界全体の新しいアライアンスなどが含まれます。この結果、ポリシーに違反する 236 万のアプリが Google Play で公開されるのを防ぎ、有害なアプリを公開しようとした 158,000 を超える悪質な開発者 アカウントを停止しました。

ただし、これは取り組みのほんの一部に過ぎません。本ブログでは、2024 年の取り組みから最新のものをご紹介します。

Google の高度な AI：Google Play をより安全な場所にする取り組み

悪質な行為を防ぐために、Google は常に人間のセキュリティ専門家と最新の脅威検出テクノロジーを組み合わせて使用してきました。2024 年には、Google の高度な AI を使用して、マルウェアを積極的に特定するシステムの機能を改善し、悪質なアプリをより効果的に検出してブロックできるようになりました。このテクノロジーは、ポリシー遵守の実績がある開発者のレビュー プロセスを合理化するためにも役立っています。現在、有害なアプリに対する人間によるレビューの 92% 以上に AI を活用することで、迅速かつ正確な措置を講じ、有害なアプリが Google Play で利用可能になるのを防いでいます。

これにより、これまで以上に多くの悪質なアプリが Google Play ストアを通じてユーザーに届くのを阻止し、有害または悪意のあるアプリが損害を引き起こす前にユーザーを保護することができます。

開発者と協力して Google Play のセキュリティとプライバシーを強化

ユーザーのプライバシーを保護するために、Google は開発者と協力して、機密データへの不要なアクセスを削減しています。2024 年には、約 130 万のアプリがユーザーの機密データに過剰または不必要にアクセスするのを防ぎました。また、ユーザー アカウントとデータ収集をサポートするアプリ向けに新しいデベロッパー要件と新しい「データ削除」オプションを導入し、アプリがユーザー情報をどのように処理するかについて透明性を高めることを要求しています。これにより、ユーザーがアプリデータを管理し、アプリのデータ削除方法を理解しやすくなることで、Google Play ユーザーがサードパーティ アプリから収集されたデータをより簡単に削除できるようになります。

Google は、Android にて最も強力で最新のプライバシーとセキュリティ機能をより多くのアプが活用するように努めています。Android の新しいバージョンごとに新しいセキュリティとプライバシー機能を導入し、開発者にはこれらの進歩をできるだけ早く採用することを推奨しています。開発者との緊密な連携により、Google Play ストアのアプリ インストールの 91% 以上が Android 13 以降の最新の保護機能を使用しています。

開発者にとって、詐欺や不正行為からアプリを保護する取り組みは、継続的な挑戦です。Play Integrity API を使用することで、開発者はアプリが改ざんされていないか、または侵害される可能性のある環境で実行されていないかを確認できるため、詐欺、ボット、不正行為、データ盗難などの不正使用を防ぐことができます。Play Integrity API と Google Play の自動保護により、開発者はユーザーが最新のセキュリティ アップデートを適用したバージョンの公式 Google Play アプリを使用しているかどうかを確認できます。Play Integrity 機能を使用しているアプリでは、そうでないアプリと比較し、未確認および信頼できないソースからの使用率が平均して 80% 低くなっています。

また、Google Play SDK Index など、Google Play 上のアプリの安全性を大規模に向上させる取り組みも継続的に行っています。このツールは、開発者が SDK の安全性についてより情報に基づいた判断を下せるよう、分析情報とデータを提供します。昨年には、80 の SDK をインデックスに追加したほか、SDK およびアプリ開発者と緊密に連携して潜在的な SDK のセキュリティとプライバシーの問題に対処し、Google Play 向けのより安全でセキュリティの高いアプリの構築を支援しました。

Google Play の不正アプリに対する多層防御

Google Play をすべてのユーザーがより安心して利用できるようにするため、Google は SAFE 原則に基づき、Google Play を安全に保つために常に進化する多層防御を組み込んでいます。これらの保護は、安全なアプリの構築において重要な役割を果たす開発者側から始まります。Google は、安全で高品質なアプリを構築するための最高レベルのツール、ベスト プラクティス、オンデマンドのトレーニング リソースを開発者に提供しています。すべてのアプリについて厳格なレビューとテストを行い、承認されたアプリのみが Google Play ストアに表示されます。ユーザーは Google Play からアプリをダウンロードする前に、Google Play のユーザー レビュー、評価、データ セーフティ セクションを調べ、十分な情報に基づいて決定を下すことができます。また、アプリがインストールされると、Android に組み込まれているセキュリティ保護機能である Google Play プロテクトが、悪質なアプリの動作を継続的にスキャンして Android デバイスを保護します。

Google Play プロテクトの強化による Android ユーザーの安全の維持

Google Play ストアは最高クラスのセキュリティを提供していますが、ユーザーが Android アプリをダウンロードする唯一の場所ではありません。そのため、より一般的なモバイルの脅威からも Android ユーザーを保護することが重要です。オープンなエコシステムでこれを実現するために、Google は詐欺、マルウェア、不正なアプリからユーザーを保護する高度なリアルタイム防御に投資しています。これらのインテリジェントなセキュリティ対策により、セキュリティ レベルの異なるさまざまなソースからアプリがインストールされた場合でも、ユーザー、ユーザー データ、デバイスを安全に保つことができます。

Google Play プロテクトは、ダウンロード元に関係なく、Google Play 開発者サービスを使用して Android デバイス上のすべてのアプリを自動的にスキャンします。デフォルトで有効になっているこの組み込みの保護により、マルウェアや不要なソフトウェアに対する重要なセキュリティが提供されます。Google Play プロテクトは、日々 2,000 億を超えるアプリをスキャンし、新しいアプリに対してコード レベルでリアルタイム スキャンを実行することで、ポリモーフィック型マルウェアなどの新しい隠れた脅威に対抗します。2024 年には、Google Play Protect のリアルタイム スキャンにより、Google Play 外で 1,300 万を超える悪意のあるアプリが新たに特定されました¹。

Google Play プロテクトは、新たな脅威に対抗し、詐欺や不正行為につながる有害なアプリからユーザーを保護するために常に進化しています。Google Play 開発者サービスを搭載した Android デバイスで、現在グローバルに利用できる新しい機能の一部をご紹介します。

• Android 版 Chrome で Google Play プロテクトを再度有効にするためのリマインダー通知：調査によると、金融詐欺と高い相関関係にある機密権限を悪用する主要なマルウェア ファミリーを含むアプリのインストールの 95% 以上が、ウェブブラウザ、メッセージング アプリ、ファイル マネージャなどを経由してのインターネットからのサイドローディングにより行われています。ユーザーがウェブを閲覧する際に保護された状態を維持できるよう、Chrome では Google Play プロテクトがオフになっている場合に、再度有効にするためのリマインダー通知が表示されるようになりました。
• ソーシャル エンジニアリング攻撃に対する追加の保護：詐欺行為者は、通話中にユーザーを操作して Google Play プロテクトを無効にし、インターネットから悪意のあるアプリをダウンロードさせてサイドローディングによるインストール操作に誘導する場合があります。これを防ぐため、電話またはビデオ通話中は Google Play プロテクトのアプリ スキャン設定 UI が一時的に無効になります。この保護機能は、従来の電話通話中だけでなく、人気のサードパーティ アプリでの音声通話やビデオ通話中もデフォルトで有効になっています。
• 潜在的に危険なアプリの権限を自動的に取り消す：Android 11 以降、Google はデータ プライバシーに対して積極的なアプローチをとっており、ユーザーがしばらく使用していないアプリの権限を自動的にリセットしています。これにより、アプリが本当に必要なデータにのみアクセスできるようになり、ユーザーは必要に応じていつでも権限を付与し直すことができます。セキュリティをさらに強化するため、Google Play プロテクトは潜在的に危険なアプリの権限を自動的に取り消し、ストレージ、写真、カメラなどの機密データへのアクセスを制限します。ユーザーはいつでもアプリの権限を復元でき、セキュリティを強化するための確認手順も表示されます。

Google Play で信頼できるアプリをバッジで見つけやすく

2024 年には、世界中のユーザーが公式の政府アプリを識別できるよう、政府向けの新しいバッジを導入しました。政府アプリは、ユーザーが提供するデータの機密性が非常に高いため、なりすましの標的になることが多く、悪意のある人物が個人情報を盗んだり金融詐欺を働いたりする可能性があります。検証済みの政府アプリにバッジを付けることは、安全で高品質、便利で関連性のある体験を人々に提供するための重要なステップです。Google は世界各国の政府と緊密に連携しており、すでにこの取り組みをさらに発展させる方法を模索しています。

また、Google Play ユーザーがセキュリティ対策にしっかり取り組んでいる VPN アプリを見つけやすくするため、最近新しいバッジを導入しました。Google Play の安全性とセキュリティ ガイドラインを遵守し、追加の独立したモバイル アプリケーション セキュリティ評価 (MASA) に合格した開発者は、Google Play ストアで専用のバッジを表示して、安全性への取り組みを強化していることをアピールできます。

アプリのセキュリティ標準の向上に向けた協力

政府、開発者、その他の関係者とのパートナーシップに加え、業界の他社とも協力し、すべての人のためにアプリ エコシステム全体を保護しています。最近では、App Defense Alliance で運営委員会に参加する Microsoft および Meta と提携し、開発者がより安全なモバイル、ウェブ、クラウド アプリケーションを構築できるようにするための新しい標準である ADA アプリケーション セキュリティ評価 (ASA) v1.0 を発表しました。この標準は、機密データの保護、サイバー攻撃からの防御、そして最終的にはユーザーの信頼の強化に関する明確なガイダンスを提供します。これは、アプリケーション開発のための業界全体のセキュリティのベスト プラクティスを確立するための大きな前進です。

すべての開発者には、新しいモバイル セキュリティ標準の確認および準拠が推奨されます。この標準は、今後の Google Pixel スマートフォン モデルにプリインストールされるすべてのキャリア アプリで採用される予定です。

今後の展望

ユーザーや開発者からのフィードバックや変化する状況に応じて、2025 年もこれらのツールやリソースを活用しながら、Android と Google Play エコシステムの保護を継続します。これまでと同様に、開発者がより簡単に安全なアプリを構築し、ポリシー遵守の手順をより合理化し、ビジネスとユーザーを悪意のある行為者から保護できるよう、支援していきます。