マルウェアや望ましくないソフトウェア

Google では、ユーザー エクスペリエンスに悪影響を及ぼすソフトウェアやダウンロード可能な実行ファイルがウェブサイトでホストされていないかどうかを確認しています。サイトでホストされている不審なファイルの一覧は、[セキュリティの問題] レポートで確認できます。

概要

マルウェアおよび望ましくないソフトウェアは、ダウンロード可能なバイナリ、またはウェブサイトで実行され、ウェブサイトを訪問したユーザーに影響を与えるアプリケーションのいずれかです。

マルウェアとは

マルウェアとは、ソフトウェアまたはモバイルアプリであり、特にパソコン、モバイル デバイス、それらで実行されているソフトウェア、パソコンやモバイル デバイスのユーザーに対して有害な影響を与えることを目的として設計されたものを指します。マルウェアは、ユーザーの同意なしにソフトウェアをインストールする、ウイルスなどの有害なソフトウェアをインストールするなど、悪意のある動作を示します。ダウンロード可能なファイルがマルウェアとみなされることをウェブサイトの所有者が認識しない場合もあるため、こうしたバイナリを意図せずにホストしてしまう可能性があります。

望ましくないソフトウェアとは

望ましくないソフトウェアとは、不正な行為や予期しない動作、ユーザーのウェブ閲覧やパソコン操作に悪影響を及ぼす動作を引き起こす実行ファイルやモバイルアプリのことを指します。たとえば、ホームページ設定やその他のブラウザ設定をユーザーが望んでいない設定に変更するソフトウェア、適切な開示を行うことによらず個人情報を漏洩するアプリが該当します。

  • 望ましくないソフトウェアからユーザーを保護するための Google の取り組みについて詳しくは、Google オンライン セキュリティ ブログの意図しないダウンロードに関する記事をご覧ください。
[セキュリティの問題] レポートでの「マルウェア」とは、ユーザーによる明示的な操作なしに動作するウェブベースのマルウェアを指します。「有害なダウンロード」とは、ユーザーによる明示的なダウンロード操作が必要となるマルウェアまたは望ましくないソフトウェアのダウンロードを指します。

ガイドライン

望ましくないソフトウェアに関するポリシーに違反していないことを確認し、以下に示すガイドラインを遵守してください。このリストはすべての違反を網羅したものではありませんが、以下のような操作は、プログラムのダウンロード時やウェブサイトへのアクセス時にアプリとウェブサイトでユーザーに警告が表示される原因となる場合があります。サイトでホストされている不審なファイルの一覧は、[セキュリティの問題] レポートで確認できます。

不実表示の禁止
  • ソフトウェアの目的と意図をユーザーに正確に伝えます。ユーザーがソフトウェアをダウンロードする際は、ダウンロード内容を明瞭に示す適切に表示された広告をクリックすることによって、ダウンロード内容を正確に把握した状態で、自身の意思に基づきソフトウェアをダウンロードする必要があります。ユーザーをダウンロードに誘導する広告では、次のような虚偽の内容または不正確な内容の表示を行うことはおやめください。
    • ダウンロードされるプログラムが Flash とは無関係であるにもかかわらず、広告で Flash のアップデートを要求する。
    • 広告に「ダウンロード」や「再生する」などの単語のみが記載され、広告対象のソフトウェアが明示されていない。
    • 「再生する」ボタンでダウンロードに誘導する。
    • サイト運営者のウェブサイトに似た外観を持ち、コンテンツ(動画など)の提供と誤認させて、実際には無関係のソフトウェアのダウンロードに誘導する広告。
    • Google のオンライン セキュリティのブログでソーシャル エンジニアリングに関する投稿をご覧ください。
  • 動作内容を正しく広告に表示します。プログラムの機能と意図を明示する必要があります。プログラムでユーザーデータを収集する、またはユーザーのブラウザに広告を挿入する場合は、そうした動作を重要度の低い機能であるかのように記載せず、わかりやすい表現で明記します。
  • ソフトウェアによってブラウザとシステムがどのように変更されるかを、ユーザーに明確に説明します。ユーザーがすべての重要なインストール オプションと変更内容を確認したうえで承認できるようにします。プログラムのメイン ユーザー インターフェースでは、バイナリのコンポーネントとそれらの主要な機能を明示する必要があります。バイナリでは、バンドルされたコンポーネントのインストールをユーザーが簡単にスキップできるようにする必要があります。たとえば、こうしたオプションを非表示にする、またはグレーアウトしたテキストを使用するのは、明示方法として不適切です。
  • 推奨のロゴなどは承認を受けている場合にのみ使用します。他の企業のロゴを不正な方法で使用して、商品の正当化または推奨は行わないでください。承認を受けずに政府機関のロゴを使用しないでください。
  • ユーザーに恐怖心を与えないでください。ソフトウェアでは、システムのセキュリティが危険な状態にある、またはシステムがウイルスに感染しているなどとユーザーに伝えることによって、ユーザーのマシンの状態を偽って伝えないでください。ソフトウェアで提供していない、または提供できないサービス(「パソコンを高速化します」など)の提供を主張しないでください。たとえば、パソコンのクリーンアップ ツールや最適化ツールの広告の場合、「無料」ツールとして広告できるのは、広告に表示されているサービスやコンポーネントに対する課金が不要な場合に限られます。
ソフトウェアに関するガイドライン
  • Chrome の設定を変更するプログラムの場合は Google の Settings API を使用してください。ユーザーのデフォルトの検索設定、起動ページ、新しいタブの画面に対する変更は Chrome Settings Override API を介して行う必要があります。これを行うには Chrome 拡張機能を使用するとともに、拡張機能のインストール フローを遵守することが必要です。
  • ブラウザとオペレーティング システムのダイアログでユーザーに適切に通知が表示されるようにしてください。ブラウザやオペレーティング システムからユーザーに表示される通知(特に、ブラウザや OS に対する変更をユーザーに伝えるもの)は非表示にしないでください。
  • コードへの署名をおすすめします。バイナリが未署名であることは、バイナリを望ましくないソフトウェアとして報告する根拠とはなりませんが、コード署名機関によって発行された、確認済みの有効なコード署名(確認可能な公開元情報が記載されたもの)をプログラムに含めることをおすすめします。
  • TLS 接続や SSL 接続によるセキュリティと保護手段の効果を低下させないでください。アプリケーションでルート認証局証明書をインストールすることはできません。エキスパートによるソフトウェアのデバッグや調査を目的とした場合を除き、ソフトウェアで SSL 接続や TLS 接続を傍受することはできません。詳細については、関連する Google のセキュリティに関するブログ投稿をご覧ください。
  • ユーザーのデータを保護します。ソフトウェア(モバイルアプリを含む)がユーザーの個人データをサーバーに送信できるのは、その個人データがアプリの機能に関係しており、かつ、個人データを送信することをユーザーに開示しており、データ送信を暗号化している場合に限られます。
  • 有害な影響を及ぼさないようにします。バイナリを使用する場合は、ユーザーのブラウジング エクスペリエンスを尊重し、有害な影響を及ぼすことのないようにする必要があります。ダウンロード可能なバイナリについて、次の基本的なポリシーを遵守していることをご確認ください。
    • ブラウザのリセット機能を阻止しないこと。Chrome のブラウザ設定のリセットボタンについてご確認ください。
    • 変更の設定に関して、ブラウザまたはオペレーティング システムの UI コントロールをバイパスしない、または非表示にしないこと。プログラムでは、ブラウザで発生する可能性がある設定の変更について、ユーザーに通知を行いコントロールする必要があります。Chrome の設定を変更するには Settings API を使用します(こちらの Chromium ブログの投稿をご覧ください)。
    • Google Chrome の機能を変更する場合は拡張機能を使用し、他のプログラマティックな手段によりブラウザの動作を変更しないこと。たとえば、プログラムで DLL(ダイナミック リンク ライブラリ)を使用してブラウザに広告を挿入することや、トラフィックを傍受するプロキシをデプロイすること、LSP(レイヤード サービス プロバイダ)を使用してユーザーの操作を傍受すること、Chrome バイナリにパッチを適用して各ウェブページに新しいユーザー インターフェースを挿入することは回避してください。
    • 製品やコンポーネントの説明でユーザーに恐怖心を与えないこと。また、虚偽の表記や誤解を招く表現をしないこと。たとえば、製品において、システムのセキュリティ状態の危険度やウイルス感染について、虚偽の内容を伝えないでください。また、レジストリのクリーンアップ ツールのようなプログラムにおいて、ユーザーのパソコンやデバイスの状態を警告するメッセージを表示することや、パソコンを最適化できると主張することは避けてください。
    • アンインストールのプロセスは、確認しやすく簡単なものとし、脅しを伴わないようにすること。プログラムでは、ブラウザやシステムを以前の設定に戻すための手順を明示する必要があります。アンインストーラにより、すべてのコンポーネントが削除されるようにしてください。また、アンインストーラでは、ユーザーにアンインストール プロセスの続行をやめさせるようなこと(たとえば、該当のソフトウェアをアンインストールした場合にユーザーのシステムやプライバシーに悪影響が及ぶ可能性があることを示す、など)はしないでください。
  • バンドルする他のソフトウェア コンポーネントも上記を遵守したものとします。 ソフトウェアが他のソフトウェア コンポーネントをバンドルしている場合は、すべてのコンポーネントが上記の各項目に違反していないことを確認する必要があります。
Chrome 拡張機能に関するガイドライン
  • すべての拡張機能は情報の開示と Chrome へのインストールにおいてポリシーを遵守する必要があります。拡張機能は、Chrome ウェブストアでホストされ、デフォルトで無効にされており、かつ Chrome ウェブストアのポリシー単一の目的に関するポリシーを含む)を遵守していなければなりません。プログラムから拡張機能をインストールする場合は、公認の Chrome 拡張機能インストール フローを使用する必要があります。このフローでは Chrome 内で拡張機能の有効化を求めるプロンプトがユーザーに表示されます。設定の変更をユーザーに通知する Chrome のダイアログを拡張機能で非表示にすることはできません。
    拡張機能のインストールの承認をリクエストする Chrome のポップアップ。
  • Chrome 拡張機能の削除方法について、ユーザーに手順を示します。ユーザーがプログラムをアンインストールする際には、そのプログラムと一緒にインストールされたものもすべて削除されるようにすることが重要です。アンインストールのフローに、ユーザーが自身で拡張機能そのものを無効にして削除するための手順を含める必要があります。
  • バイナリがブラウザのアドオンをインストールする、またはデフォルトのブラウザ設定を変更する場合は、ブラウザでサポートされるインストール フローと API に従う必要があります。 たとえば、バイナリで Chrome 拡張機能をインストールする場合は、Chrome 拡張機能が Chrome ウェブストアでホストされ、Chrome のデベロッパー プログラム ポリシーを遵守している必要があります。Chrome の拡張機能配信の代替オプションに関するポリシーに違反する Chrome 拡張機能をインストールしたバイナリは、マルウェアと判断されます。
モバイルアプリに関するガイドライン
  • データを収集する意図をユーザーに伝えます。デバイス上のデータ(サードパーティのアカウント、メール、電話番号、インストール済みのアプリ、モバイル デバイス上のファイルに関するデータなど)の収集および送信を開始する前に、ユーザーがこれに同意できる機会を設けてください。収集したユーザーの個人データや機密データについては、最新の暗号化技術を使用して(たとえば、HTTPS 経由で)転送するなど、セキュリティを確保した状態で処理します。Play 以外のアプリの場合は、アプリ内でのデータ収集についてユーザーに開示する必要があります。Google Play アプリで開示を行う場合は、Play のポリシーを遵守する必要があります。公開しているアプリの用途の範囲を超えるデータを収集しないでください。

  • 他のブランドまたはアプリになりすますことはしないでください。ユーザーの混乱を招く可能性がある方法で、他のブランドまたはアプリと類似した、不適切あるいは不正な画像やデザインを使用しないでください。
  • すべてのコンテンツがアプリのコンテキストを逸脱していない状態を保持してください。アプリが、他のアプリとデバイスのユーザビリティに干渉する状態は回避してください。ユーザーに通知したうえで同意を得て、表示される広告のソースの帰属を明確にしない限り、アプリでは、アプリ自体のコンテキストまたは機能の範囲を逸脱する広告やその他のコンテンツをユーザーに表示すべきではありません。
  • ユーザーに対して行った誓約に基づいてアプリを配信する必要があります。アプリでは、広告を表示したすべての機能をユーザーが利用できる必要があります。アプリはアプリのコンテンツを更新することはできますが、情報を開示したうえでユーザーから同意を得ることなく、追加のアプリをダウンロードすることはできません。
  • 動作の透明性を保持してください。アプリの用途として明示されている場合を除き、他のアプリまたはそれらのショートカットをアンインストールする、あるいは置き換えることはできません。アンインストールでは、すべてを削除し完全に行う必要があります。デバイスの OS や他のアプリを模倣したプロンプトをアプリで表示することはおやめください。

Google Play を通じて配布されるアプリは、デベロッパー プログラム ポリシーデベロッパー販売 / 配布契約、それらの定める追加要件を遵守する必要があります。

問題の解決

サイトまたはアプリが上記のガイドラインを遵守していることを確認したうえで、[セキュリティの問題] レポートから審査をリクエストしてください。

モバイルアプリで警告が表示される場合は、アプリの確認と再審査請求についてご確認ください。