アプリ配布サイトのF-DroidがGoogleの開発者登録義務化に猛反発

認証していない開発者のアプリをAndroidにインストールできなくするというGoogleの発表を受け、アプリ配布サイトのF-Droidが抗議声明を出しました。Googleの新しい制度で、F-Droidは存続の危機に立たされています。

F-Droid and Google's Developer Registration Decree | F-Droid - Free and Open Source Android App Repository
https://f-droid.org/2025/09/29/google-developer-registration-decree.html

2025年8月、Googleは全てのAndroidアプリ開発者に対し、事実上Googleへの情報登録を強制する「開発者認証制度」を導入することを明らかにしました。

Androidにインストールされる全アプリの身元を確認する「開発者認証機能」をGoogleが導入 - GIGAZINE

この制度に基づき、アプリ開発者はGoogleに住所や氏名などの情報を登録した上で、アプリのパッケージ名と署名鍵を登録する必要があります。今後、Androidは、アプリを端末にインストールする際に情報を検証し、登録情報と異なる場合はインストールをブロックします。

この制度に、多くのAndroid利用者が反発しています。

Androidは、公式アプリプラットフォームのGoogle Play以外からアプリをインストールできるというのが大きな利点の1つです。合法で便利なものの、Google Playの利用規約に反しているためにGoogle Playでは配布できないようなアプリなど、数多くのアプリがサードパーティーのプラットフォームや各種ウェブサイトでの直接公開などの手段で提供されています。しかし、Googleの方針変更によって全ての開発者がGoogleへの情報登録を義務づけられることになります。

これにより、個人の開発者の負担が増加することなどが懸念されているほか、既存のアプリを改変するアプリなども利用できなくなる可能性がある点も問題視されています。通常、アプリを改変すると、アプリに記録された「署名」を上書きしてしまうことになりますが、上書き後の署名は当然ながら登録された署名と異なるため、このようなアプリはインストールできないと考えられます。

アプリを自分でビルドする際も同様です。自分でビルドして、自分の署名を付けた場合、その署名すら登録が必要なのかという疑問が多くのAndroidユーザーから寄せられています。自分のアプリを自分でビルドするならともかく、他人のアプリを自分でビルドする場合は、インストールがブロックされる可能性があります。

自分で他人のアプリをビルドすることでアプリの透明性を担保しているのが、F-Droidです。

F-Droidはサードパーティーのアプリプラットフォームの1つで、オープンソースで開発されているアプリを多数ラインナップしています。F-Droidは、開発者が署名したアプリをそのまま公開するか、オープンソースのソフトウェアをF-Droid自身でビルドしてレビューし、そのビルドプロセスを全て公開することでアプリが安全であることを保証しています。どんな風にアプリが設計され、ビルドされているのかを誰でも検証できるようにしている点で、他のアプリ配布サイトとは一線を画しています。

Googleは「Google Play以外からインストールされたアプリから検出されたマルウェアは、Google Playからインストールされたアプリの50倍以上だった」と伝え、Google Play以外からのアプリインストールを制限する開発者認証制度の利点をアピールしていますが、Google Play以外からのアプリインストールが危険だからといって、Google Playからのアプリインストールが危険ではないというわけではありません。

Google Playで配布されるアプリは、一応はGoogleの審査を受けているものの、アプリのアップデートでマルウェアが混入してGoogleの審査をすり抜けてしまうような事態がしばしば発生しており、必ずしも完全に安全であるとは言えません。

Google Playでダウンロード数1億以上の人気アプリにマルウェア混入が発覚 - GIGAZINE

その点、アプリがアップデートされた場合でも必ず検証を行って情報を公開するF-Droidのようなサイトの方が、安全面で有利なこともあります。

確かに、Google Play以外から無警戒にアプリをインストールする行為は危険を伴います。アプリを配布しているサイトが一体どのようなものなのか、配布されているアプリやその開発者は信頼できるのかといったことを、ユーザーは自分自身できちんと確認しなければなりません。それでも、「自分で好きなアプリを選択してインストールできる」という仕組みはAndroidの大きな利点であり、その仕組みを制限するのはAndroidの優位性を落とすことになります。

F-Droidは「Google Playストアに代表される商用アプリストアはスパイウェアや詐欺の温床であり、ユーザーの注意力を金銭に変えて稼いだり、欺瞞(ぎまん)やダークパターンなどあらゆる手段で個人情報を収集したりするアプリを露骨に推奨しています。F-Droidは異なります。配布されるアプリは、配布者の利益ではなくユーザーの利益のために動作することを確認しています。F-Droidの仕組み上、F-Droidは開発者にGoogle経由でのアプリ登録を義務付けられません。配布するアプリをF-Droidのものであると主張して登録することもできません。開発者認証制度が発効すれば、F-Droidプロジェクトやその他のフリー／オープンソースアプリ配布源は現在の形では終わりを迎え、『誰もが検証できるアプリカタログ』という存在がもたらす安全性と安心感が世界から失われるでしょう。F-Droidの無数のユーザーは、アプリケーションをインストールする手段だけでなく、既存アプリをアップデートする手段すら失い、途方に暮れることになります」と指摘しました。

加えてF-Droidは、「全ての認定Androidデバイスで有効化されているPlay Protectサービスは、アプリの出所に関わらず、マルウェアと特定されたアプリをスキャンし無効化します。こうした仕組みがあるのに『マルウェア対策のために開発者認証を義務付ける必要がある』と説明するのは不誠実です。これは、セキュリティ目的ではなく、権力の集中と、かつてオープンだったエコシステムへの統制強化が目的だと確信しています」と述べました。

なお、開発者認証制度で一体どのような情報確認が行われるのか、本当に懸念されているような「便利なアプリが全て使えなくなる」という事態が発生するのかなど、いまだ詳細が分かっていない点も多いです。

Androidエコシステムのプレジデントであるサミール・サマット氏は、「自分のデバイスで自作のAPK(Android用アプリのファイル形式)をパッチ適用してインストールできますか？自分で作成したAPKを他人と共有するつもりはありません。開発者になるつもりはなく、単にAPKをパッチ適用したりビルドしたりしたいだけです」という一般人の質問に対し、「はい、これはすべて検証なしで実行できるはずです」と述べており、少なくとも自作アプリに関しては面倒な手続きが不要であることを示唆しています。

ソーシャルサイトのHacker Newsでは、「独占を防ぐデジタル市場法に違反するのでは？」という論点で議論が行われるなどしています。これに関し1人のユーザーが欧州委員会に問い合わせたところ、「デジタル市場法は、Googleのような企業に対し、非公式プラットフォームでアプリを配布することを認めるよう事実上義務づけています。同時に、非公式プラットフォームからのアプリがセキュリティを脅かさないかどうかを検証するための保護措置を導入することを認めています」といった返信があったとのこと。このユーザーは「欧州委員会の姿勢は複占を強化するもので、法律の目的とは正反対だ」と主張しました。