## Android向けバイナリ透明性 **Google**は、サプライチェーン攻撃からエコシステムを保護する手段として、Android向けの[バイナリ透明性](https://binary.transparency.dev/)を拡大したことを発表しました。 Googleのプロダクトおよびセキュリティチームは、「この新しい公開台帳は、お使いのデバイス上のGoogleアプリが、私たちが構築・配布を意図したとおりであることを保証します」と[述べています](https://blog.google/security/bringing-binary-transparency-to-the-android-ecosystem/)。 このイニシアチブは、Googleが2021年10月にソフトウェアの整合性を強化するために[導入](https://security.googleblog.com/2021/10/pixel-6-setting-new-standard-for-mobile.html)した[Pixelバイナリ透明性](https://security.googleblog.com/2023/08/pixel-binary-transparency-verifiable.html)の基盤の上に構築されています。これは、公式のファクトリーイメージに関するメタデータを記録する[公開された暗号化されたログ](https://developers.google.com/android/binary_transparency/pixel_tech_details)を保持することで、Pixelデバイスが検証済みのオペレーティングシステム（OS）ソフトウェアのみを実行することを保証します。 この検証可能なセキュリティインフラストラクチャは、発行されたすべてのSSL/TLS証明書を公開され、追記のみ可能で、暗号学的に検証可能なログに記録することを義務付けるオープンフレームワークである[証明書透明性](https://certificate.transparency.dev/howctworks/)に類似しています。これにより、誤発行または悪意のある証明書を検出するのに役立ちます。 ## バイナリサプライチェーン攻撃への対抗 この動きは、バイナリサプライチェーン攻撃のリスクに対抗することを目的としています。これらの攻撃は、ソフトウェアアップデートチャネルを汚染し、デジタル署名をそのままに保ちながら悪意のあるコードを配信することがよくあります。最近の例としては、[DAEMON Tools](https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html)ソフトウェアのWindowsインストーラーが、軽量なバックドアを提供するために侵害され、その後QUIC RATと呼ばれるインプラントのコンジットとして機能した事例があります。 インストーラーは、DAEMON Toolsの正規ウェブサイトから配布され、DAEMON Tools開発者に属するデジタル証明書で署名されていました。 Googleは、「バイナリの署名だけに頼るだけでは不十分になってきています。署名だけでは、この特定のバイナリが作者によって公開のためにリリースされた意図されたものであることを保証できないからです」と述べています。「デジタル署名は原産地の証明書ですが、バイナリ透明性は意図の証明書です。」 ## ソフトウェアの整合性の確保 Androidでバイナリ透明性を拡大することにより、同社は、ユーザーのデバイス上のGoogleソフトウェアが、構築および配布を意図したとおりであることを保証することを目指しています。そのために、2026年5月1日以降にリリースされるGoogleのプロダクションAndroidアプリケーションには、その真正性を確認する対応する暗号化エントリが含まれます。 このイニシアチブには現在、[Google Playサービス](https://play.google.com/store/apps/dev?id=5700313618786177705)やスタンドアロンのGoogleアプリケーションを含むプロダクション[Googleアプリケーション](https://play.google.com/store/apps/dev?id=5700313618786177705)に加え、OSの一部であり通常のリリースサイクルの外で動的に更新できる[Mainlineモジュール](https://source.android.com/docs/core/ota/modular-system)が含まれています。 Googleは、「これにより、誰でもデバイス上のGoogleソフトウェアがGoogleによって承認されたプロダクションバージョンであり、攻撃者によって変更されていないことを検証できる、透明な『信頼の源』が提供されます」と述べています。「ソフトウェアが台帳にない場合、Googleはそれをプロダクションソフトウェアとしてリリースしていません。一度限りのバージョンを展開する試みは検出可能になります。」 この取り組みの一環として、このテクノロジー大手は、ユーザーや研究者がサポートされているソフトウェアタイプの透明性状態を検証するために利用できる検証ツールも[提供しています](https://github.com/android/android-binary-transparency)。 この開発は、ここ数ヶ月で人気のあるソフトウェアの開発者や下流ユーザーを標的とした一連のサプライチェーン攻撃の中で行われています。悪意のある攻撃者は、開発者のアカウントを侵害し、そのアクセスを悪用してマルウェアをプッシュすることで、一度に複数のユーザーを侵害できるようになっています。 ## セキュリティのための重要な柱 Googleは、「これはユーザーのプライバシーとセキュリティにとって重要な柱です。なぜなら、ソフトウェアアップデートの根本的なパワーダイナミクスを変更するからです」と述べています。「このレベルの透明性は、ソフトウェアの整合性に対する保護のもう一つの層として機能し、不正なバイナリリリースに対する強力な抑止力となります。」