Google、古いAndroidのサポート終了か　9億台で脆弱性放置の恐れ

Rapid7の研究者によると、GoogleはAndroid 4.3（Jelly Bean）までのバージョンについて、WebViewの脆弱性修正パッチの提供を打ち切った。

　世界でまだ9億台あまりの端末に搭載されている旧バージョンのAndroidについて、米Googleが脆弱性を修正するパッチの提供を打ち切っていたことが分かったという。脆弱性検証ツール「Metasploit」を手掛けるRapid7の研究者が1月12日のブログで伝えた。

　それによると、Googleは最近まで、Android 4.3（Jelly Bean）の脆弱性について報告を受けると迅速に対応していた。ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発しない。4.4より前のバージョンに影響する報告で、パッチを伴わないものについては、OEMに通知する以外の対応はできない」と返事があったという。

　WebViewはAndroid 4.3までのバージョンに使われていたWebページレンダリングのためのコンポーネントで、Android 4.4（KitKat）からはChromiumベースのバージョンに置き換えられている。

　OSなどのサポートを巡っては、米Microsoftがサポート期限を公表しているのに対し、GoogleやAppleは公表していない。しかしRapid7の研究者はGoogleの返答から、現時点で同社がサポートの対象としているAndroidは現行バージョンのLollipop（5.0）と1つ前のバージョンのKitKat（4.4）に限られていて、Jelly Bean（4.0〜4.3）までのバージョンについては、WebViewの脆弱性修正パッチ提供が打ち切られたことが分かったと指摘した。

　Googleの統計によれば、2015年1月5日の時点でLollipopの普及率は0.1％に満たず、KitKatは約39％。残る60％をJelly Beanまでのバージョンが占めている。それにもかかわらずGoogleのサポートは打ち切られ、「9億3000万台以上のAndroid携帯がGoogleの公式セキュリティパッチの対象外になっている」（Rapid7の研究者）という。

Androidのバージョン別シェア（Android Developersのダッシュボードより）

　「脆弱性が公開されているにもかかわらずアップストリームベンダーがパッチを提供するつもりがないのなら、一般ユーザーは永久に脆弱なまま放置される」と研究者は述べ、攻撃の格好の標的になりかねないと危惧。「次に脆弱性が公開された時にはGoogleが考え直してくれることを願う」と結んでいる。