モバイル エコシステムでは、不正使用が収益、成長、ユーザーの信頼を脅かす可能性があります。デベロッパーの成功を支援するため、Google Play は復元力のある脅威検出サービスである Play Integrity API を提供しています。Play Integrity API を使用すると、操作とサーバー リクエストが正規のものであること（Google Play によってインストールされ、認定済みの Android デバイスで実行されている、改変のないアプリからのものであること）を確認できます。

その効果は大きく、Google Play Integrity の機能を使用しているアプリは、他のアプリと比較して不正使用が平均で 80% 少なくなっています 。現在、Uber、TikTok、Stripe、Kabam、Wooga、Radar.com、Zimperium、Paytm、Remini など、さまざまなカテゴリのリーダーが、ビジネスの保護にこの API を活用しています。

Google は、Play Integrity API の改善を続けています。統合を容易にし、高度な攻撃に対する復元力を高め、完全性の基準を満たしていないユーザーや、新しい Google Play アプリ内修復プロンプトでエラーが発生したユーザーの復元を改善しています。

ビジネスに対する脅威を検出する

Play Integrity API は、重要な操作中に収益に影響を与える特定の脅威を検出するように設計された判定結果を提供します。

• 不正アクセス: accountDetails の判定結果は、ユーザーが Google Play でアプリやゲームをインストールしたか、またはアプリやゲームに課金したかを判断するのに役立ちます。
• コードの改ざん: appIntegrity の判定結果は、Google Play で認識される改変のないバイナリとやり取りしているかどうかを判断するのに役立ちます。
• 危険なデバイス、エミュレートされた環境: deviceIntegrity の判定結果は、アプリが正規の Google Play プロテクト認定済み Android デバイスまたは PC 版 Google Play Games の正規のインスタンスで実行されているかどうかを判断するのに役立ちます。
• パッチが適用されていないデバイス: Android 13 以降を搭載したデバイスの場合、MEETS_STRONG_INTEGRITY レスポンスはdeviceIntegrity の判定結果は、デバイスに最新のセキュリティ アップデートが適用されているかどうかを判断するのに役立ちます。deviceAttributes を有効にして、証明された Android SDK バージョンをレスポンスに含めることもできます。
• 他のアプリからの危険なアクセス: appAccessRiskVerdict は、ユーザー補助の権限の不正使用などによって、画面のキャプチャ、オーバーレイの表示、デバイスの操作に使用される可能性のあるアプリが実行されているかどうかを判断するのに役立ちます。この判定結果では、ユーザー補助の正当な目的で使用されるアプリは自動的に除外されます。
• 既知のマルウェア: playProtectVerdict は、Google Play プロテクトがオンになっているかどうか、および危険なアプリのインストールがデバイスで検出されたかどうかを判断するのに役立ちます。
• 異常に多いアクティビティ: recentDeviceActivity のレベルは、デバイスが異常に多くの完全性トークン リクエストを最近送信したかどうかを判断するのに役立ちます。リクエストが異常に多い場合は、自動生成トラフィックや攻撃によるものである可能性があります。
• 不正行為の繰り返し、再利用されているデバイス: deviceRecall（ベータ版）は、アプリの再インストールやデバイスのリセットを行った後でも、以前にフラグを設定したデバイスとやり取りしているかどうかを判断するのに役立ちます。デバイスの呼び出しでは、トラッキングする繰り返し操作をカスタマイズできます。

この API は、スマートフォン、タブレット、折りたたみ式デバイス、Android Auto、Android TV、Android XR、ChromeOS、Wear OS などのさまざまな Android フォーム ファクタと、PC 版 Google Play Games に使用できます。

Play Integrity API を最大限に活用する

アプリやゲームは、セキュリティに関する考慮事項に従い、不正使用対策戦略に段階的なアプローチを採用することで、Play Integrity API を活用して成功を収めています。

ステップ 1: 保護する対象を決定する: アプリやゲームで確認して保護する重要な操作とサーバー リクエストを決定します。たとえば、ユーザーがアプリを起動したとき、ログインしたとき、マルチプレイヤー ゲームに参加したとき、AI コンテンツを生成したとき、送金したときに完全性チェックを行うことができます。

ステップ 2: 完全性判定の結果のレスポンスを収集する: 重要なタイミングで完全性チェックを実行して、完全性判定の結果データの収集を開始します。最初は適用しません。これにより、インストール ベースのレスポンスを分析し、既存の不正使用シグナルや過去の不正使用データとの関連性を確認できます。

ステップ 3: 適用戦略を決定する: レスポンスの分析と保護する対象に基づいて、適用戦略を決定します。たとえば、重要なタイミングで危険なトラフィックを変更して、機密性の高い機能を保護できます。この API はさまざまなレスポンスを提供するため、レスポンスの組み合わせごとに信頼レベルを設定し、階層化された適用戦略を実装できます。

ステップ 4: 適用を段階的にロールアウトし、ユーザーをサポートする: 適用を段階的にロールアウトします。判定結果に問題がある場合や利用できない場合は、再試行戦略を用意し、問題が発生した正当なユーザーをサポートできるように準備します。後述する新しい Google Play アプリ内修復プロンプトを使用すると、問題のあるユーザーを正常な状態に戻すことがこれまで以上に簡単になります。

新機能: Google Play で問題のあるユーザーを自動的に復元する

さまざまな完全性シグナルにどのように対応するかを決定するのは複雑な場合があります。さまざまな完全性レスポンスと API エラーコード（ネットワークの問題や Google Play 開発者サービスのバージョンが古いなど）を処理する必要があります。Google は、新しい Google Play アプリ内修復プロンプト でこれを簡素化しています。Google Play プロンプトをユーザーに表示して、アプリ内でさまざまな問題を自動的に修正できます。これにより、統合の複雑さが軽減され、一貫したユーザー インターフェースが確保され、より多くのユーザーを正常な状態に戻すことができます。

GET_INTEGRITY は問題を自動的に検出し（この例ではネットワーク エラー）、解決します。

Google Play Integrity API ライブラリ バージョン 1.5.0 以降で利用可能な GET_INTEGRITY ダイアログは、さまざまな問題が発生した後にトリガーして、必要な修正を自動的に案内できます。

• 不正アクセス: GET_INTEGRITY は、accountDetails の Google Play ライセンス レスポンスにユーザーを誘導します。
• コードの改ざん: GET_INTEGRITY は、appIntegrity の Google Play 認識レスポンスにユーザーを誘導します。
• デバイスの完全性の問題: GET_INTEGRITY は、deviceIntegrity で MEETS_DEVICE_INTEGRITY 状態に戻る方法をユーザーに案内します。
• 修復可能なエラーコード: GET_INTEGRITY は、修復可能な API エラーを解決します。たとえば、ネットワーク接続の修正や Google Play 開発者サービスの更新をユーザーに促します。

また、 GET_STRONG_INTEGRITY（GET_INTEGRITY と同様に機能し、playProtectVerdict で既知のマルウェアの問題がない MEETS_STRONG_INTEGRITY 状態にユーザーを戻します）、GET_LICENSED（Google Play ライセンスと Google Play 認識の状態にユーザーを戻します）、CLOSE_UNKNOWN_ACCESS_RISK とCLOSE_ALL_ACCESS_RISK（潜在的に危険なアプリを閉じるようユーザーに促します）などの専用ダイアログも用意されています。

最新の完全性ソリューションを選択する

Google は、Play Integrity API に加えて、不正使用対策戦略の一環として検討すべきいくつかの機能を提供しています。Play Integrity API と Google Play の自動保護はどちらも、アプリの配信を保護するためのユーザー エクスペリエンスとデベロッパーのメリットを提供します。既存のアプリでは、従来の Google Play ライセンス ライブラリを使用するのではなく、これらの最新の完全性ソリューションに移行することをおすすめします。

自動保護:  Google Play の自動保護で不正アクセスを防ぎ、ユーザーが公式アプリのアップデートを引き続き受け取れるようにします。有効にすると、Google Play はアプリのコードにインストーラ チェックを自動的に追加します。デベロッパーによる統合作業は必要ありません。保護されたアプリが別のチャネルを通じて再配布または共有された場合、ユーザーに Google Play からアプリを入手するよう求めるメッセージが表示されます。対象となる Google Play デベロッパーは、Google Play の高度な改ざん対策にもアクセスできます。この機能では、難読化とランタイム チェックを使用して、攻撃者が保護されたアプリを改変して再配布することをより困難にし、コストを増やします。

Android プラットフォーム キー構成証明:  Play Integrity API は、ハードウェア格納型のAndroid プラットフォーム キー構成証明のメリットを得るためにおすすめの方法です。Play Integrity API は、デバイス エコシステム全体で基盤となる実装を処理します。Google Play はキー関連の問題と停止を自動的に軽減し、API を使用して他の脅威を検出できます。Play Integrity API に依存せずにキー構成証明を直接実装するデベロッパーは、中断を避けるために、2026 年 2 月に予定されている Android プラットフォームのルート証明書のローテーションに備える必要があります（Play Integrity API を使用しているデベロッパーは何もする必要はありません）。

Firebase App Check: Firebase を使用しているデベロッパーは、Firebase App Check を使用して、認定済みの Android デバイスで Play Integrity API を利用したアプリとデバイスの完全性の判定結果と、他のプラットフォーム構成証明プロバイダからのレスポンスを受け取ることができます。他のすべての脅威を検出し、他の Google Play 機能を使用するには、Play Integrity API を直接統合します。

reCAPTCHA Enterprise: 不正行為や bot 管理のための総合ソリューションを求める企業のお客様は、モバイル向けの reCAPTCHA Enterprise を購入できます。reCAPTCHA Enterprise は、Play Integrity API の不正使用対策シグナルの一部を使用し、それらを reCAPTCHA シグナルと組み合わせてすぐに使用できます。

今すぐビジネスを保護する

ハードウェア格納型のセキュリティと、統合を簡素化する新しい自動修復ダイアログを基盤とする Play Integrity API は、成長を保護するための不可欠なツールです。

Play Integrity API のドキュメントをご覧ください。