残念なウェブとAndroid、「古いAndroidのサポート終了」という誤解が広まる その真相とは

アプリオ編集部

Android マスコット

【寄稿記事】

ここ数日、Android 4.3 Jelly Bean以前のOSを搭載した全てのスマートフォンのサポートが早々に打ち切られたという誤解が広まっています。そのきっかけになったのは、13日の以下の記事だと思われます。

Google公式発表と情報元のブログには、バージョン4.3以前のAndroid OSのサポートを終了するという情報は見当たりません。しかし、3000回以上ツイートされた上記記事の内容は不正確ではないものの、記事タイトルが古いAndroidのサポートを全て終了させるかのような表現となっています。そのため、多くの読者が勘違いさせられてしまったようです。

そして15日、この誤解に基づいていると思われるヤフーニュース個人の記事が、絶大な影響力を誇るYahoo!トピックスに載ってしまいました。

で、今度はスマホのAndroidで古いバージョンがセキュリティ面のサポートを終了する可能性があるようです。
(中略)
この件で興味深いのは、サポート終了がGoogleから公式に発表されたのではなく、たまたま問い合わせがあったためそういう事実が判明したという点です。もし誰も問い合わせなければ、ずっとAndroid 4.3までのサポート期間がいつ終わるのかは知られないままになっていたかもしれません。もっとも、OSのサポート期限を公表していないのはGoogleだけではなくAppleも同じようなスタンスです。
Androidのセキュリティが色々やばそうな件で(山本一郎) - 個人 - Yahoo!ニュース

ここでは列挙しませんが、数多くのウェブメディアが同趣旨の記事を掲載しています。ちょっとした表現の不正確さによって、誤った(もしくは不正確な)情報が瞬く間に拡散されていくさまは"残念なウェブ"としか言いようがありません。

古いAndroid OSのサポートが終了するわけではない

では、本当にAndroid 4.3以前のOSは、Googleによるサポートの対象外となってしまったのでしょうか?

ここで、今回のニュースの発端となったセキュリティ企業Rapid7のブログを確認してみると、WebViewに関する脆弱性の報告に対するGoogleからの回答が次のように書かれています。

If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch.
Google No Longer Provides Patches for WebView Jelly Bean and Prior | SecurityStreet

抄訳すると、「もし(WebViewの)脆弱性がAndroid 4.4以前のバージョンのものであれば、我々(=Google)自身がパッチの開発をおこなうことはない。(WebViewの)脆弱性の報告で修正パッチの提供が伴わない場合、OEM各社へ通知する以上の対応はとることはない」ってところでしょうか。

この回答から分かるように、今回の件はあくまでWebViewに限った話であって、Android OS全体の話でないことは明らかです。

【追記 2015/1/16 21:39】
情報元のブログでは、GoogleのAndroidセキュリティチームの見解が次にように紹介されています。

"When asked for further clarification, the Android security team did confirm that other pre-KitKat components, such as the multi-media players, will continue to receive back-ported patches."
訳:さらなる明確化を求めたところ、Androidセキュリティチームは、KitKatより前の他のコンポーネント(例えばマルチメディアプレイヤー)はパッチのバックポートを受け続けるであろうことを認めました。
(追記ここまで)

WebView

一般的にはあまり馴染みのない”WebView”という機能ですが、これはアプリ内でオンラインコンテンツを表示するために使われる機能と思えば分かりやすいかと思います。

少しマニアックな話をすると、WebViewには2種類存在していて、

  • Android 4.3以前ではWebKitベースのWebView(WebKit WebView)
  • Android 4.4以降ではChromeベースのWebView(Chrome WebView)

が、それぞれ採用されています。

Chrome WebView
ウェブ コンテンツが埋め込まれたアプリケーションで、Chrome を使用してウェブ コンポーネントを高速かつ正確に表示できるようになりました。
Android - 4.4(KitKat)

Android 4.4 KitKatや最新バージョンであるAndroid 5.0 LollipopではChrome WebViewが採用されているため、GoogleとしてはChrome WebViewの開発に専念し、Android 4.3以前のWebView(つまり、WebKit WebView)についてはGoogleによるサポートを終了するよ!っていうのが、今回の真相です(情報が正しければ、の話ですが)。

関連:Google、Android 4.3以下には「WebView」のセキュリティパッチ提供を打ち切りか

AndroidにおけるOS断片化やサポート期間の不透明さ

また、余程のことがない限り、古いAndroid OS全体のサポートが終了することはないと言い切ってもいいと思います。

というのも、過去にいくつか前例があって、

と、大多数のAndroid端末に影響する2件の脆弱性が過去に発表されましたが、いずれのケースでもGoogleから各OEMに修正プログラムがきっちりリリースされています。

Android 4.3以下を搭載するスマートフォンの稼動割合は全体の約60%を占めていることを考えても、この60%が今すぐ切り捨てられるとは考えられません。

Android

さらに、AndroidはGoogleサービス部分を除けばオープンソースなOSです。脆弱性がよく報道されるWebViewですが、パッチの作成は脆弱性の発見者やOEM各社その他の世界中のディベロッパーが作成できます。

ただし、第三者がパッチを作成するならば、それを「Android Open Source Project」のコードに組み込むことはする。また、それを端末メーカーに配布もするが、同社が責任を持って実施するのは、そこまでということになる。
グーグル、「Jelly Bean」以前のAndroidの「WebView」パッチ提供を終了か - CNET Japan

と、CNETが指摘しているとおり、Googleがサポートしないだけで、パッチの作成者がこの世から消え去るわけではありません。

ただし、パッチが各OEMに提供されたとしても、キャリアや端末メーカーから修正対応アップデートが配信されるかどうかはまた別問題。また山本氏による指摘の通り、日本のキャリアからのアナウンスは今のところありません。Googleもこのような問題を認識しているのか、最新のAndroid 5.0 LollipopではChrome WebViewをOSから切り離し、ソフトウェアアップデート不要で(Google Play開発者サービス同様)Google Playストア経由でのアップデートを可能にしています。

このあたりはAndroidに付きまとうOS断片化やサポート期間の不透明さといった"Androidの残念さ"が表面化する部分だと言えます。少しずつでも改善されるといいんですけど、今後もこういった問題とはしばらく付き合う必要がありそうです。

残念なウェブとAndroid、「古いAndroidのサポート終了」という誤解が広まる その真相とは | アプリオ

んで、そのwebviewもChromium エンジンな WebView のバックポートライブラリをアプリが抱え込んでおけば済む話なんじゃないかなー。 https://crosswalk-project.org/

2015/01/16 10:56

寄稿者情報
ちむてぃ