「Google Play」が取り組む不正アプリ対策、1日500億件超の審査・解析など実施

Google Play UXプロダクトマネジメントバイスプレジデントのティアン・リム氏

　Google Playでアプリを提供するデベロッパーや、ダウンロードユーザーがサービスを安全に利用するために、Googleでは不正アプリを防ぐための対策を行っている。12月6日に行われた記者発表会で、Google Play UXプロダクトマネジメントバイスプレジデントのティアン・リム氏は、同社で力を入れているという、アプリのプロテクション、ポリシーの見直し、レビュープロセスの強化について解説を行った。

　Google Playでは、過去12カ月間で1160億のアプリ・ゲームが全世界でダウンロードされているが、その中には改変されたアプリや悪質なコンテンツが含まれるもの、不正な広告を表示するものが存在している。Googleでは被害を防ぐため不正アプリを特定する専任のチームを擁しており、毎日500億件を超えるアプリを審査・解析して挙動を確認している。

　なお、Google Play以外でアプリをダウンロードしたデバイスのうちで有害なアプリの影響を受けたものは、Google Play経由のものより8倍も多かったことが2018年時点で判明しているそうだ。

　このほか、個人情報を流出させたり、ボットネットに対してユーザーの電話番号をリスト化する挙動が見られるSDKも確認されたという。こうした悪質なSDKをインストールしているデベロッパーへ連絡を試みても、中には連絡先の情報が更新されておらず、連絡を取ることが難しいケースがある。

　「デベロッパーにはどのSDKを自分たちが取り込んでいくのか慎重に考えていただく必要がある。また、その動作についても監視を続けていくことが重要だと考えている。デベロッパーがより良い意思決定ができるように私たちも支援していく」（リム氏）

ポリシーの見直しで安全なアプリを、SMS／通話履歴に対するデベロッパーのアクセス権限の制限など

　常に進化する脅威に対応するため、アプリに関するポリシーに対してはコンスタントにレビューを行いアップデートしているという。2019年にはSMSと通話履歴に対するデベロッパーのアクセス権限の制限を行ったが、この変更によって同データにアクセスするアプリが98％少なくなったという。

　5月には子ども向けのアプリに関するポリシーの変更を行い、アプリが適切なコンテンツの提供、広告表示、個人情報の管理が行われているか、要件を満たすための条件が厳格化された。この変更も実際に効果を上げているそうだ。

　ポリシー変更後には、デベロッパーに必要な対応を取ってもらうために約30日間の猶予期間が与えられる。SMSと通話履歴へのアクセス権限に関するポリシーの変更時は90日間を設けるなど、デベロッパーが対応しやすくするために長い期間を設定することもある。

不正アプリの再公開を防ぐための人手も使ったレビュープロセス

　リム氏によれば、デベロッパー用の新規アカウントは毎日数千件作成されているという。この中には、悪意ある攻撃者が一度公開が禁止されたアプリを再公開する目的で作成したアカウントが含まれる。審査ではそうしたアプリが公開される前にポリシーに違反しているものがないか特定して阻止する。

　日々何万件というアプリの登録・更新に関する申請があるが、レビュープロセスでは機械的に実施するものに加えて、専門家による審査を行うことで精度を上げている。日によっては3万件の申請が専門家によって審査されることがあるそうだ。

　ポリシーに違反するアプリのデベロッパーには警告し、一定期間を過ぎても対応されなかった場合は、アプリ・アカウントが無効にされる場合がある。2018年には、悪意ある攻撃者によるアプリの申請を却下した数が前年比で55％増加、また停止したアプリも同様に66％増加した。

　リム氏は、こうしたエコシステムを安全に保つことが重要だと説明する。また、この取り組みのほかに、Googleでは毎年デベロッパーなどを対象としたイベント「Playtime」を開催しているが、同イベントでデベロッパーの意見を直接聞くことで、「どういった課題を抱えているのか情報を共有し、より良い環境構築に向けた取り組みを強化していきたい」と語った。

　また、「ユーザーの安全を守り続けることは、私たちのプラットフォームが今後も成長・成功するための道だと考えている。そのため、世界中のデベロッパーに協力してもらい、継続的にアプリがユーザーエクスペリエンスをより良いものにしていくことがともにできれば」と述べた。