モバイル エコシステムでは、不正使用が収益、成長、ユーザーの信頼を脅かす可能性があります。デベロッパーの成功を支援するため、Google Play は復元力のある脅威検出サービスである Play Integrity API を提供しています。Play Integrity API を使用すると、操作やサーバー リクエストが、改変のないアプリ(Google Play によってインストールされ、認定された Android デバイスで実行されているもの)から行われたものかどうかを確認できます。
その効果は大きく、Google Play Integrity の機能を使用しているアプリは、他のアプリと比較して不正使用が平均で 80% 少なくなっています 。現在、Uber、TikTok、Stripe、Kabam、Wooga、Radar.com、Zimperium、Paytm、Remini など、さまざまなカテゴリのリーディング カンパニーが、ビジネスの保護にこの API を活用しています。
Google は、Play Integrity API の改善を続けています。統合を容易にし、高度な攻撃に対する復元力を高め、完全性の基準を満たしていないユーザーや、新しい Google Play アプリ内修復プロンプトでエラーが発生したユーザーの復元を改善しています。
ビジネスに対する脅威を検出する
Play Integrity API は、重要なインタラクション中に収益に影響を与える特定の脅威を検出するように設計された判定結果を提供します。
- 不正アクセス:
accountDetailsの判定結果を使用すると、ユーザーが Google Play において、アプリやゲームをインストールしたか、またはアプリやゲームに課金したかを判断できます。 - コードの改ざん:
appIntegrityの判定結果を使用すると、Google Play で認識されている、改変されていないバイナリとやり取りしているかどうかを判断できます。 - 危険なデバイスとエミュレートされた環境:
deviceIntegrityの判定結果を使用すると、アプリが Google Play プロテクト認定の正規の Android デバイスで実行されているか、PC 版 Google Play Games の正規のインスタンスで実行されているかを判断できます。 - パッチが適用されていないデバイス: Android 13 以降を搭載したデバイスの場合、
MEETS_STRONG_INTEGRITYレスポンスを使用すると、deviceIntegrityの判定結果でデバイスに最近のセキュリティ アップデートが適用されているかどうかを判断できます。deviceAttributesを有効にして、証明された Android SDK バージョンをレスポンスに含めることもできます。 - 他のアプリによる危険なアクセス:
appAccessRiskVerdictを使用すると、画面のキャプチャ、オーバーレイの表示、デバイスの制御(ユーザー補助権限の誤用など)に使用される可能性のあるアプリが実行されているかどうかを判断できます。この判定結果では、正規のユーザー補助を目的とするアプリは自動的に除外されます。 - 既知のマルウェア:
playProtectVerdictを使用すると、Google Play プロテクトがオンになっているか、危険なアプリのインストールがデバイスで検出されたかを判断できます。 - ハイパーアクティビティ: recentDeviceActivity レベルを使用すると、デバイスが最近、異常に大量の完全性トークン リクエストを送信しているかどうかを判断できます。これは自動生成トラフィックを示している可能性があり、攻撃の兆候である可能性があります。
- 不正使用の繰り返しとデバイスの再利用:
deviceRecall(ベータ版)を使用すると、アプリが再インストールされたり、デバイスがリセットされたりした場合でも、以前にフラグを設定したデバイスとやり取りしているかどうかを判断できます。デバイスの呼び出しを使用すると、トラッキングする繰り返し操作をカスタマイズできます。
この API は、スマートフォン、タブレット、折りたたみ式デバイス、Android Auto、Android TV、Android XR、ChromeOS、Wear OS、PC 版 Google Play Games など、さまざまな Android フォーム ファクタで使用できます。
Play Integrity API を最大限に活用する
アプリやゲームは、セキュリティに関する考慮事項に従い、不正使用対策戦略に段階的なアプローチを採用することで、Play Integrity API を活用して成功を収めています。
ステップ 1: 保護する対象を決定する: アプリやゲームで確認して保護する重要な操作とサーバー リクエストを決定します。たとえば、ユーザーがアプリを起動したとき、ログインしたとき、マルチプレイヤー ゲームに参加したとき、AI コンテンツを生成したとき、送金したときに完全性チェックを行うことができます。
ステップ 2: 完全性判定の結果のレスポンスを収集する: 重要なタイミングで完全性チェックを実行して、最初は適用せずに完全性判定の結果データの収集を開始します。これにより、インストール ベースのレスポンスを分析し、既存の不正使用シグナルや過去の不正使用データとの関連性を確認できます。
ステップ 3: 適用戦略を決定する: レスポンスの分析と保護する対象に基づいて、適用戦略を決定します。たとえば、重要なタイミングで危険なトラフィックを変更して、機密性の高い機能を保護できます。この API はさまざまなレスポンスを提供するため、レスポンスの組み合わせごとに信頼レベルを設定して、階層化された適用戦略を実装できます。
ステップ 4: 適用を段階的にロールアウトし、ユーザーをサポートする: 適用を段階的にロールアウトします。判定結果に問題がある場合や利用できない場合は、再試行戦略を用意し、問題が発生した正規のユーザーをサポートできるように準備します。後述する新しい Google Play アプリ内修復プロンプトを使用すると、問題のあるユーザーを簡単に正常な状態に戻すことができます。
新機能: Google Play で問題のあるユーザーを自動的に復元する
さまざまな完全性シグナルにどのように対応するかを決定するのは複雑な場合があります。さまざまな完全性レスポンスと API エラーコード(ネットワークの問題や Google Play 開発者サービスのバージョンが古いなど)を処理する必要があります。Google は、新しい Google Play アプリ内修復プロンプト でこれを簡素化しています。ユーザーに Google Play プロンプトを表示して、アプリ内でさまざまな問題を自動的に修正できます。これにより、統合の複雑さが軽減され、一貫したユーザー インターフェースが確保され、より多くのユーザーを正常な状態に戻すことができます。
GET_INTEGRITY は問題を自動的に検出し(この例ではネットワーク エラー)、解決します。
Google Play Integrity API ライブラリ バージョン 1.5.0 以降で利用可能な GET_INTEGRITY ダイアログは、さまざまな問題が発生した後にトリガーして、必要な修正を自動的に案内できます。
- 不正アクセス: GET_INTEGRITY は、accountDetails の Google Play ライセンス レスポンスにユーザーを誘導します。
- コードの改ざん: GET_INTEGRITY は、appIntegrity の Google Play 認識レスポンスにユーザーを誘導します。
- デバイスの完全性の問題: GET_INTEGRITY は、
deviceIntegrityで MEETS_DEVICE_INTEGRITY 状態に戻る方法をユーザーに案内します。 - 修復可能なエラーコード: GET_INTEGRITY は、修復可能な API エラーを解決します。たとえば、ネットワーク接続を修正するか、Google Play 開発者サービスを更新するようユーザーに促します。
また、 GET_STRONG_INTEGRITY(GET_INTEGRITY と同様に機能し、playProtectVerdict に既知のマルウェアの問題がない MEETS_STRONG_INTEGRITY 状態にユーザーを戻します)、GET_LICENSED(Google Play ライセンスと Google Play 認識の状態にユーザーを戻します)、CLOSE_UNKNOWN_ACCESS_RISK と CLOSE_ALL_ACCESS_RISK(危険な可能性のあるアプリを閉じるようユーザーに促します)などの専用ダイアログも用意されています。
最新の完全性ソリューションを選択する
Google は、Google Play Integrity API に加えて、不正使用対策戦略の一環として検討すべき他の機能も提供しています。Play Integrity API と Google Play の自動保護はどちらも、アプリの配布を保護するためのユーザー エクスペリエンスとデベロッパーのメリットを提供します。既存のアプリは、従来の Google Play ライセンス ライブラリを使用するのではなく、これらの最新の完全性ソリューションに移行することをおすすめします。
自動保護: Google Play の自動保護で不正アクセスを防ぎ、ユーザーが公式アプリのアップデートを引き続き受け取れるようにします。この機能を有効にすると、Google Play はアプリのコードにインストーラ チェックを自動的に追加します。デベロッパーによる統合作業は必要ありません。保護されたアプリが別のチャネルを通じて再配布または共有された場合、ユーザーに Google Play からアプリを入手するよう求めるメッセージが表示されます。対象となる Google Play デベロッパーは、Google Play の高度な改ざん対策にもアクセスできます。この機能では、難読化とランタイム チェックを使用して、攻撃者が保護されたアプリを改変して再配布することを困難にし、コストを増やします。
Android プラットフォーム キー構成証明: ハードウェア格納型の Android プラットフォーム キー構成証明のメリットを得るには、Play Integrity API を使用することをおすすめします。Google Play Integrity API は、デバイス エコシステム全体で基盤となる実装を処理します。Google Play は、キー関連の問題と停止を自動的に軽減し、API を使用して他の脅威を検出できます。Google Play Integrity API に依存するのではなく、キー構成証明を直接実装するデベロッパーは、中断を避けるために、2026 年 2 月に予定されている Android プラットフォームのルート証明書のローテーションに備える必要があります(Google Play Integrity API を使用しているデベロッパーは何もする必要はありません)。
Firebase App Check: Firebase を使用しているデベロッパーは、Firebase App Check を使用して、認定された Android デバイスで Play Integrity API を利用したアプリとデバイスの完全性の判定結果と、他のプラットフォーム構成証明プロバイダからのレスポンスを受け取ることができます。他のすべての脅威を検出し、他の Google Play 機能を使用するには、Google Play Integrity API を直接統合します。
reCAPTCHA Enterprise: 不正行為や bot 管理のための総合ソリューションを求める企業のお客様は、モバイル向けの reCAPTCHA Enterprise を購入できます。reCAPTCHA Enterprise は、Google Play Integrity API の不正使用対策シグナルの一部を使用し、それらを reCAPTCHA シグナルと組み合わせています。
今すぐビジネスを保護する
ハードウェア格納型のセキュリティを備えた強固な基盤と、統合をシンプルにする新しい自動修復ダイアログを備えた Play Integrity API は、成長を保護するための不可欠なツールです。
作成者:
続きを読む
-
プロダクト ニュース
デベロッパーの AI ワークフローとニーズはそれぞれ異なるため、AI が開発をどのように支援するかを選択できることが重要です。1 月に、ローカルまたはリモートの任意の AI モデルを選択して Android Studio の AI 機能を強化する機能が導入されました。
Matthew Warner • 所要時間: 2 分
-
プロダクト ニュース
Android Studio Panda 3 が安定版となり、本番環境で使用できる準備が整いました。このリリースでは、AI を活用したワークフローの制御とカスタマイズがさらに強化され、高品質の Android アプリをこれまで以上に簡単に構築できるようになりました。
Matt Dyor • 所要時間: 3 分
-
プロダクト ニュース
Google は、最も高性能な AI モデルを直接 Android デバイスに搭載することに取り組んでいます。このたび、最先端のオープンモデルである Gemma 4 のリリースを発表しました。
Caren Chang, David Chou • 所要時間: 3 分
メールを受け取る
Android 開発に関する最新の分析情報を毎週メールでお届けします。
