なぜサムスンは私の銀行アプリを掌握したのか？ Androidの「破壊」ジレンマの内幕

私がスマートフォンを所有して16年になりますが、最も奇妙なアプリのアップデートが昨年11月に起こりました。

GoogleのAndroid 13オペレーティングシステムを搭載した私のSamsung Galaxy S23に、Galaxy Storeからいくつかのアップデートがインストール可能になったという通知が届きました。Galaxy Storeは、Google Playストアの補完としてSamsungが自社デバイスに提供しているサービスです。Galaxy Storeから時折届くプッシュ通知は、時計アプリやあまり知られていないゲームエンジンなど、Samsungのサービスアップデートを勧める内容です。いつものように通知をタップし、ストアが読み込まれるのを待ってから、反射的に「すべて更新」を押しました。アップデートのインストールが始まって初めて、Bank of Americaアプリがリストにあることに気づきました。

私はパニックに陥りました。これは何か悪意のあるハッキングなのでしょうか？不正なバンク・オブ・アメリカのアプリが私の正規アプリを乗っ取ったのでしょうか？なぜGoogle Playストアではなく、Samsungストアが長年使っているアプリを突然アップデートしたのでしょうか？こんなことは今まで見たことがなく、すぐに私だけではないことが分かりました。Androidユーザーは長年にわたり、RedditやSamsungのサポートフォーラムなどで、予期せぬストアによるアプリのアップデートについて不安と困惑を表明してきました。

バンク・オブ・アメリカの件で私が恐怖を感じたのは、Androidの「上書き」問題を知るきっかけとなった。Googleは、今後数週間以内に下される予定の米国裁判所命令により、この問題がさらに悪化する可能性があると警告している。この命令は、Googleに対し、自社以外のアプリストアへの対応をより柔軟にするよう求めることで、この巨大テック企業によるPlayストアの違法な独占状態を覆すことを目的としている。もしこの命令が意図した効果を上げ、Googleがこの件で控訴審に敗訴した場合、Androidユーザーは、ますます多くのアプリストアがアプリ更新プロセスの独占権を争うようになることに驚くことになるかもしれない。

このアプリストアを巡る争いは、Google社内では「Clobering（大量破壊）」と呼んでいるもので、人生の多くの事柄と同様に、金銭とデータが問題を引き起こしている。サンフランシスコの連邦陪審がGoogle Playを違法な独占企業と認定するに至ったこの争いは、Epic Gamesが自社のゲーム「フォートナイト」を、不当とみなされる売上額をGoogleに分配することなく配信しようとした際に、様々な障害に直面したことから始まった。

Epicが開発したアプリストアを含むほぼすべてのアプリストアは、ユーザーのアプリ内購入におけるより大きなシェアと、アプリ内およびアプリ間のユーザーアクティビティのより詳細な把握を望んでいます。アプリストアでのユーザーインタラクションが増加すればするほど、収益とインサイトの向上につながる可能性が高まります。

しかし、GoogleはEpicとの争いが始まった当初から、Android業界の確立された境界線をいじくり回すことはユーザーに不利益をもたらす可能性があると主張してきた。例えば、アプリのクラッシュはアプリの不具合を引き起こす可能性があり、アプリの不具合が増える可能性はGoogleが指摘する潜在的なデメリットの一つに過ぎない。米連邦地方裁判所のジェームズ・ドナート判事が今後の命令案を起草する上での課題は、ユーザーが利用できるアプリストアなど、より多くのコントロール権を持つようにしつつ、ユーザーを今以上に簡単には迷路に陥れず、フラストレーションの渦に巻き込むことを防ぐことだ。

サムスンとバンク・オブ・アメリカは、本件に関するコメント要請に直ちには応じなかった。グーグルとエピックはいずれもコメントを拒否した。

ストア間アップデートは、Androidのルーツである、比較的オープンなLinuxプラットフォームにまで遡り、メリットも伴います。アプリのアップデートはセキュリティレビューやその他のストア固有のチェックを経るため、ダウンロードのタイミングはアプリストアによって異なる場合があります。サイバーセキュリティ企業Bitdefenderの脅威調査・レポート担当ディレクター、ボグダン・ボテザトゥ氏は、スマートフォンにインストールされているアプリストアのいずれかでアプリのアップデートを許可することで、ユーザーはバグやセキュリティ上の脆弱性を解消するために、アプリをできるだけ早く最新の状態に保つことができると述べています。「ユーザーはアップデートの入手について心配する必要はありません」と彼は言います。

明るい兆しとして、WIREDの依頼でセキュリティ調査会社Defensive Lab Agencyの共同設立者であるエスター・オンフロイ氏が3つの人気アプリを分析したところ、Google PlayとGalaxy Storeからダウンロードした同じアプリのコピーに違いは見られなかった。

オンフロイ氏によると、ストア間のアップデートにはリスクが伴うものの、そのリスクは低いとのことだ。セキュリティが脆弱なアプリストアは悪用され、悪意のあるアップデートが配信される可能性がある。また、デバイス上に複数のストアが存在する場合、そのうちの1つが不正に利用される可能性も高まる。また、アプリストアはアップデートに、何らかの侵入的なデータ収集を可能にするコードを組み込む可能性もある。

ユーザーは、他のアプリストアからのアップデートが正常に機能しないといった迷惑な事態に遭遇する可能性が高くなります。Googleの製品管理ディレクターであるエドワード・カニンガム氏は、ドナート氏に対し、2022年にスマートフォンメーカーのOPPOのアプリストアがGoogle Chromeブラウザの無許可かつ古いアップデートをリリースしたと法廷文書で証言しました。このアップデートをインストールした一部のユーザーは、Chromeでウェブページを読み込めませんでした。

Redditでは、Google PlayがAmazonアプリストアからダウンロードしたアプリをアップデートした結果、Amazonマーケットプレイスで配信されているアプリ特有のサブスクリプション機能や仮想通貨での決済が利用できなくなったとユーザーが不満を訴えている。6月の裁判所への提出書類で、Googleの弁護士は、ユーザーがアプリ内購入やサブスクリプションを利用できなくなる可能性があることを認めた。アプリストアは様々な課金システムに対応しており、アプリの最新アップデートで使用されている課金システムだけが機能している可能性がある。そのため、EpicのストアからダウンロードしたゲームがGoogle Playによってアップデートされた場合、アプリ内購入の手数料を受け取るのはEpicではなくGoogleになる可能性があり、過去に購入したアイテムが意図したとおりに機能しない可能性もある。

また、ストア間アップデートは、バグが広がる前にそれを発見するためにアプリ開発者が時々使用する段階的なリリースを妨害する可能性があるため、アプリのクラッシュをより頻繁に引き起こす可能性もあります。これは、最近の CrowdStrike のメルトダウンのような災害を回避するのに役立つ対策です。

上書きによる混乱をさらに招く要因として、アプリ開発者は各ストアに異なる認証情報やバージョン番号でアプリを公開することで、複数のアプリストアからのアップデートを制限できる点が挙げられます。しかし、ユーザーが別のアプリストアからのアップデートに切り替えたい場合、好みのストアから新しいバージョンをダウンロードしてアプリを再インストールする必要があり、その過程で一部のデータが失われる可能性があります。また、現在のバージョンのアプリを好みのために保存しておきたいユーザーは、あるストアからのアップデートをオフにした際に、別のストアからのアップデートもオフにする必要があることに気づかず、がっかりするかもしれません。

イェール大学ロースクールのサイバーセキュリティ講師であり、イェール・プライバシー・ラボの創設者でもあるショーン・オブライエン氏は、ユーザーは悪意あるソフトウェアの侵入の可能性についてより深く理解する必要があり、それに対するコントロールを強化すべきだと述べています。「スマートフォンに、目の前でアプリをインストールさせられるべきではない」と彼は言います。

Samsungストアのアップデート機能では、Google Playからアプリが配信されたかどうかはリストに載っていますが、Samsungマーケットプレイスでアップグレードを処理するメリットについては明記されていません。例えば、なぜBank of AmericaアプリのアップデートをSamsungに任せておくべきなのでしょうか？メリットやデメリットがあるとすれば、どのようなものがあるのでしょうか？

昨年連絡を取ったサムスンのカスタマーサービス担当者は、「アプリ開発者はさまざまなデバイスやプラットフォームに最適化された特定のバージョンのアプリを作成している」と説明し、ギャラクシーストアのバンク・オブ・アメリカのアプリは、具体的には明示されていない「追加機能や改善」を提供している可能性があると述べた。

ユーザーからの苦情が相次いだにもかかわらず、Androidの最初の15年間は、上書き攻撃はそれほど大きな注目を集めていませんでした。しかし、昨年末にAndroid 14をリリースしたGoogleは、突如としてこの問題への対処に着手しました。Googleによると、それまでは、SamsungのGalaxy Storeを含むプリインストールアプリストアは、ユーザーの明確な許可や目立つ通知なしに、あらゆるアプリを更新できました。ユーザーがダウンロードしたストアは、以前に他の場所からインストールしたアプリをユーザーの許可を得た場合にのみ更新できましたが、それでも問題が発生する可能性はありました。

Android 14では、アプリストアが特定のアプリのアップデートの独占的な提供元であることを宣言できるようになりました。ユーザーは、複数のストアを混在させると「アプリの機能に影響する可能性がある」という警告メッセージに同意すれば、どのアプリストアでもアプリのアップデートを受けることができます。このプロセスにより、「異なるストアから予期せずこれらのアプリのアップデートを受け取ることがなくなります」と、Googleの広報担当者は2月にAndroid Policeに語りました。

しかし、世界中のAndroidデバイスのうち、Android 14を実行しているのはわずか4分の1程度と推定されており、アプリストアが相当数のアプリを独占的にアップデートする権利を主張しているかどうかは不明だ。

EpicはGoogle Playの独占状態を是正するための提案の中で、Googleに対しAndroid 14の機能調整を求めている。Epicはドナート氏に対し、ユーザーが1、2回のクリックですべてのアプリを同じアプリストアからアップデートできるようにGoogleに要求するよう求めている。しかし、Googleのカニンガム氏はドナート氏に対し、単一のストアへの一括移行を可能にすると、ユーザーが重要なアップデートを見逃し、「Android 14のソリューションが解決しようとしたまさにその問題を再び引き起こす」可能性があると述べた。カニンガム氏は、ユーザーがアプリを1つずつタップするだけで、デバイス上のすべてのストアからアップデートを有効化できる既存の設定を維持することを希望している。

Epic社が懸念しているのは、現在のプロセスでは、アップデートが必要なアプリがGoogle Playにある限り、Google Playが決して排除されないという点だ。Epic社の弁護士はドナート氏に宛てた書簡で、「Googleが引き続きクローバリングを許可するという提案は、ユーザーがアップデートの所有権をPlayストアからサードパーティストアに移すことを阻害するだろう」と記している。Playストアは「ユーザーが競合ストアからのアップデート配信のみを希望する場合でも、アップデートを配信し続けるだろう」。

Epicの提案は、Google Playが他のアプリストアからのダウンロードを許可することを要求している。これらのアプリストアは、Google Playに掲載されているアプリのリストを受け取り、それらをマーケティングすることで、ストアフロントがユーザーにとって同様に閲覧する価値のあるものになる可能性がある。Googleは、競合ストアに直接公開されていないアプリのダウンロードとアップデートを処理する。裁判所への提出書類の中で、Googleは提案された変更には数千万ドルの開発費用がかかると主張している。

今週、ドナート氏の前で行われた公聴会で、弁護士と技術専門家らは、Googleが提案された要件を遵守するために数か月、あるいは場合によっては1年以上の猶予を与えるべきなのか、そしてその要件は何年間有効であるべきなのかについて議論した。「解決策を練らなければならない複雑な問題が数多くあります」と、Googleのカニンガム氏はドナート氏に語った。「どれも実現不可能だとは言いませんが、ある程度の時間はかかるでしょう」

ドナート氏は、命令を確定させるには少なくとも2週間かかると述べ、Googleのコンプライアンスを監視するための3人委員会を設置すると付け加えた。EpicとGoogleがそれぞれ技術専門家を1人ずつ任命し、その後、両社が共同でアプリ開発業界から専門家を選出して委員会に加わらせることを提案した。ドナート氏の質問からは、ユーザーの利益を最優先に考える姿勢が伺える。「陪審員が認定したこの誤りを是正する責任があります」と同氏は述べた。もし全てがうまく収束すれば、ユーザーはアプリのアップデートに関する不安や苛立ちから解放されるかもしれない。