自動保護で不正な改変や再配布を防ぐ

Google Play の自動保護は、不正な改変や再配布という形で行われる完全性の侵害からアプリやゲームを保護できるサービスです。自動保護は、データ接続がなくてもアプリで機能します。Google Play Console でワンクリックで有効にすることができ、テスト前のデベロッパーの作業やバックエンド サーバーとの統合は不要です。

仕組み

自動保護では、アプリのコードにランタイム チェックを追加して、改変や再配布を制限します。さらに、高度な難読化とリバース エンジニアリング対策の手法を使用して、これらのチェックを削除しにくくします。インストーラ チェックに失敗した場合、Google Play でアプリを入手するよう求めるメッセージがユーザーに表示されます。改変チェックに失敗した場合、アプリは実行されません。これにより、改変されたバージョンのアプリに表示される可能性のある有害なコンテンツから、ユーザーを守ることができます。

自動保護は、次のような保護を目的として設計されています。

• 不正な改変を防止する: 自動保護は、アプリを改変から保護することで、動作の改変（請求の削除、広告の追加、広告所有者 ID の変更、マルウェアの追加など）が行われた非公式なコピーを配布しにくくします。
• 有料アプリの著作権侵害を防止する: 自動保護は、改変されていない Google Play バージョンのアプリを非公式の提供元から入手したユーザーに対して、アプリを Google Play で購入するよう求めるメッセージを表示することで、著作権侵害を防ぎます。このメッセージの表示は任意であり、無効にするには、Automatic Integrity Protection の設定ページで [Google Play からのインストールを必要とする] チェックボックスをオフにします。
• 正式なアップデートを受け取るようにユーザーに促す: 自動保護では、改変されていない Google Play バージョンのアプリをサイドローディングしたユーザーに対して、進行中のアプリのアップデートを受け取れるように、アプリを Google Play ライブラリに追加するよう促すメッセージを表示できます。このメッセージの表示は任意であり、無効にするには、Automatic Integrity Protection の設定ページで [Google Play からのインストールを必要とする] チェックボックスをオフにします。

自動保護を設定する

自動保護の使用を開始するために必要な作業は以下のとおりです。セクションをクリックすると開きます。

ユーザーが完全性保護のダイアログからアクセスしたときのストアの掲載情報をカスタマイズする

自動保護では、アプリを非公式に入手したユーザーに対して、Google Play でアプリを入手するよう促すメッセージを表示できます。ユーザーがダイアログをタップすると、ストアの掲載情報にリダイレクトされます。そこに表示されている、Google Play からアプリを取得するためのインストール（または購入や更新）ボタンをタップすると、ユーザーの Play ライブラリにアプリが追加されます。

完全性保護のダイアログをタップしたユーザー向けに、ストアの掲載情報のアセット（アプリの名前、アイコン、説明、画像、映像など）をカスタマイズできます。完全性保護のダイアログからユーザーがアクセスしたときのストアの掲載情報をカスタマイズする方法は次のとおりです。

1. Google Play Console を開き、[アプリの完全性] ページ（[

   テストとリリース

   ] > [アプリの完全性]）に移動します。
2. [Play Integrity API] セクションまでスクロールします。
3. [設定] をクリックします。
4. [ストアの掲載情報のカスタマイズ] セクションまでスクロールします。
5. [掲載情報の作成] をクリックします。
6. [ストアのカスタム掲載情報を作成] ページの指示に沿って操作し、[保存] をクリックします。

[ストアのカスタム掲載情報] ページから、完全性保護ダイアログ用のストアのカスタム掲載情報を直接作成することもできます。

1. Google Play Console を開き、[ストアのカスタム掲載情報] ページ（[ユーザーを増やす] > [ストアのカスタム掲載情報]）に移動します。
2. [掲載情報の作成] をクリックし、新しい掲載情報を作成するか既存のリスティングを複製するかを選択して、[次へ] をクリックします。
3. [掲載情報] で [ターゲット ユーザー] までスクロールします。
4. [URL] を選択し、テキスト ボックスに「playintegrity」と入力します。
5. その他の情報をすべて入力して、[保存] をクリックします。

ヒント: URL パラメータ「playintegrity」は完全性のディープリンク用に予約されている特殊なキーワードであるため、ストアのカスタム掲載情報を設定する際に一字一句正確に入力する必要があります。

おすすめの実装

アプリの保護されていないバージョンを公開しない

保護されていないバージョンをオープン トラックに公開したり、Google Play 以外のチャネルで公開したりすると、アプリの保護機能は動作しなくなります。アプリの完全性保護機能を維持するには、アプリの保護されたバージョンをオープン トラックと製品版にのみ公開する必要があります。

改ざん対策を組み合わせる際は注意する

自動保護は、ランタイムで実行される他の改ざん対策との互換性がない可能性があるため、併用するとユーザーに問題が発生する恐れがあります。すでにアプリに Google Play ライセンス サービスを実装している場合は、[Google Play からのインストールを必要とする] を無効にする必要があります。アプリで他のランタイム チェックが実行される場合は、オープン トラックに公開する前に、保護されたアプリを十分にテストしてください。

保護されたアプリをテストする

Google Play はすべてのトラック（内部テスト、クローズド、オープン、製品版）にわたって、保護されたビルドを自動的に配布します。これらのバージョンを通常どおりに十分にテストする必要があります。

アプリのビルドを内部アプリ共有に直接アップロードした場合、Google Play は保護機能を追加しません。これは、内部アプリ共有を使用して、デバッグビルドやその他の類似のビルドをアップロードできるようにするためです。

App Bundle エクスプローラで保護されたアプリ バージョンの内部アプリ共有リンクにアクセスすると、ビルドは Google Play で処理されたとおりの状態で共有されます。そのアプリ バージョンがテストトラックにアップロードされて保護されていた場合、App Bundle エクスプローラの内部アプリ共有リンクからは保護されたバージョンが配布されます。保護機能のステータスは App Bundle エクスプローラの [詳細] タブで確認できます。

クラッシュをモニタリングする

アプリが保護されている結果としてクラッシュ数が増えることがあります。これはおそらく、自動保護が想定どおりに機能していることを示しています。攻撃者がアプリの改変に失敗した場合、ランタイム チェックは主にアプリをクラッシュさせることで、アプリの実行を停止します。

Google Play に起因しないクラッシュは、Android Vitals の安定性の指標には影響を与えません。他のツール（Crashlytics など）を使用してクラッシュを分析していて、インストール元でフィルタする際にパッケージ名が必要になる場合、Google Play ストアのパッケージ名は「com.android.vending」です。

クラッシュ数の異常な増加について懸念されている場合は、できるだけ詳しい情報を記載して Google までお知らせください。担当チームが調査いたします。クラッシュが保護機能に関連していることが判明した場合は、適切に対応いたします。

アプリのクラッキングされたバージョンを報告する

クラッキングされたバージョンとは、改変された場合または Google Play からのインストールが要求される状況で Google Play の外部からインストールされた場合においても、機能しているアプリのバージョンのことです。

アプリのクラッキングされたバージョンを特定した場合は、Google までお知らせください。

改ざん対策を強化する

アプリのテレメトリー（匿名化した環境とパフォーマンスのデータなど）を Google Play と共有することで、改ざん対策のレジリエンスとパフォーマンスを強化できます。アプリのテレメトリーの共有を無効にするには、[自動保護の設定] ページ（[

テストとリリース

関連コンテンツ

• 自動保護に関する動画をご覧ください。
• Google Play Console の完全性と署名のサービスについてご確認ください。
• Android デベロッパー サイトの完全性と署名のサービスについてご確認ください。