Play Integrity・App Attest・reCAPTCHAという3つの認証システムが、代替OSや非承認ハードウェアを締め出している——Android Authorityによると、セキュリティ強化型Android派生OSとして知られるGrapheneOSがこうした主張を展開しました。影響範囲はスマートフォンの銀行アプリだけでなく、PCを含むウェブサービス全般にも及ぶ可能性があると報じられています。
GrapheneOSが問題視する3つの仕組み
Android Authorityによれば、GrapheneOSの主張はGoogleのPlay Integrity API、AppleのApp Attest、そしてGoogleのreCAPTCHAという3つの認証システムに集中しています。これらはアプリやウェブサービスがアクセス前に「信頼できる端末」「承認されたソフトウェア」を使っているかを確認する仕組みです。
- Play Integrity API:Androidアプリが端末の正当性・改変有無・認証済みソフトウェアの有無を検証する仕組み。銀行アプリ等が、root化端末や改変版Androidをブロックする目的で利用しています。
- App Attest:Apple版の同等システム。
- reCAPTCHA:ボット判定の文脈で利用される認証システム。
GrapheneOSは、これらの仕組みが「セキュリティ機能」として提示されている一方で、実際にはAppleやGoogleが承認していないハードウェア・ソフトウェアを排除する役割を果たしていると訴えていると報じられています。
ウェブ全体に広がる可能性——PCユーザーにも影響か
Android Authorityの報道によれば、GrapheneOSはreCAPTCHAの広がりについても言及しています。ウェブの広範な領域でアクセス前に認証済みAndroidまたはiOS端末での確認が要求される事態になれば、WindowsやLinuxといったデスクトップ環境のユーザーにも影響が及ぶ可能性があるとされています。「自分はAndroidユーザーじゃないから関係ない」とは言い切れない構造というわけです。
ここで重要なのは、GrapheneOS自身がAndroidベースの代替OSであり、Play Integrityで「非認証」扱いを受ける当事者だという点です。立場が偏っている可能性は読者として留意しておくべきでしょう。とはいえ、root端末や改変OSで銀行アプリが起動しなかった経験を持つユーザーには、構造的な指摘として響く内容です。
政府・金融サービスへの採用拡大
Android Authorityによると、GrapheneOSは政府機関や銀行が決済・デジタルID・年齢認証などの場面でこれらの認証システムを採用しつつあるとも指摘しています。本来は両社の反競争的な振る舞いを規制すべき政府が、自らのサービスを通じて競合排除に加担することになりかねないという批判です。
Google・Appleは未回答
GoogleとAppleは、GrapheneOSが提起したこれらの問題について現時点では公式な反応を示していないと報じられています。両社の見解が示されないまま、片方の主張だけが広がっている状況である点は押さえておく必要があります。
リーク情報ではなく、特定OSプロジェクトによる主張という性質のニュースです。現時点ではGrapheneOSの見解として受け止め、両社からの反応や具体的なポリシー変更があるかを注視するのが妥当でしょう。
2025年5月以降のPlay Integrity強化と今後のロードマップ
GrapheneOSの主張の背景には、Googleが過去1年で進めた認証の段階的強化があります。Play Integrity APIはハードウェアバックのシグナルを用いるようになり、2025年5月にデフォルトでのロールアウトが始まったことで、Android 13以降の端末ではルート化端末やカスタムROMが通過しにくくなっています。MEETS_STRONG_INTEGRITY判定は、過去1年以内にリリースされたセキュリティアップデートが端末に適用されていることを要求するように変更されました。
- 2025年8月にIntegrityライブラリのバージョン1.5.0が公開され、GET_INTEGRITYやGET_STRONG_INTEGRITYといった修復ダイアログが追加されています
- Play Integrityを利用するアプリでは未認可利用が平均80%減少したとされ、Uber・TikTok・Stripe・Paytmなどが採用していると説明されています
- 2026年2月にはAndroidプラットフォームのルート証明書ローテーションが予定されており、Play Integrity API経由ではなく自前で鍵認証を実装している開発者は対応が必要とされています
短期的にも中期的にも、認証基盤の引き締めが続く見通しです。
代替OSコミュニティが提示する対案と互換性の実情
GrapheneOSの批判は感情論ではなく、具体的な技術的代替案を伴っています。GrapheneOS側は、Play Integrity APIを使うアプリでも、標準のAndroidハードウェア認証APIを直接利用し公式リリース署名鍵を許可リストに加えれば代替OSをサポートできると主張しており、ハードウェア認証APIはPlay Integrityより強力で、代替OSの鍵をホワイトリストに登録できる柔軟性があると説明しています。
批判側は、Play Integrity APIが開発者にGoogleの専有サービスへの依存を強いることで、Androidエコシステムでの独占を強化し、プライバシー重視の代替OSを不利な立場に置いていると論じています。
実利用面の実情も補足しておく必要があります。非公式ROMであるLineageOSはハードウェア認証に通らず、APIを必要とする銀行系などサードパーティアプリの利用が阻まれます。GrapheneOS向けの互換性追跡サイトPrivSecでも、特定の銀行アプリがPixel 10シリーズで動作しない、あるいはPlay Integrity利用をブロックしないと起動しないといった報告が並んでおり、ユーザー側のワークアラウンドに依存する状況が続いています。
Q&A
Q. Play Integrity APIとは何ですか? Androidアプリが、利用中の端末が正規品でセキュアか、認証済みソフトウェアで動作しているかをチェックするためのGoogleのAPIです。銀行アプリ等が、root化された端末や改変版Androidをブロックする目的で利用しています。
Q. GrapheneOSの主張は中立的な情報ですか? GrapheneOS自身がGoogleの認証システムで「非承認」扱いを受ける代替OSプロジェクトであり、利害関係を持つ立場からの主張です。GoogleとAppleからの公式な反応は現時点で示されておらず、片側の見解として受け止める必要があります。
Q. 代替OSや非認証端末を使うと、どんなサービスが使えなくなる可能性がありますか? Android Authorityの報道では、銀行アプリやroot化検知を行うアプリでブロックされる事例が挙げられています。さらにreCAPTCHAが広がれば、一般的なウェブサービスへのアクセスにも影響が及ぶ可能性があると指摘されています。詳細は出典元を参照してください。
Q. 一般的なiPhoneやGoogle Pixelユーザーにも実害はありますか? 公式の認証済み端末を使う限り、直接的な影響は限定的と考えられます。ただし、修理・改造・サードパーティ製OSの導入を選んだ場合に、利用できるサービスが狭まる構造があるという論点です。
出典
- Android Authority — GrapheneOS says Google is making life harder for rival operating systems and devices
- Android Authority — Google Play's latest security change may break many Android apps for some power users
- Android Developers Blog — Stronger threat detection, simpler integration: Protect your growth with the Play Integrity API
