「Android 4.3」以前の標準ブラウザに存在する脆弱性、パッチ提供なし

　モバイルOS「Android」の古いバージョンを搭載するスマートフォンやタブレットのユーザー（全Androidユーザーの約60％）は、Googleが修正しないと決めたセキュリティ脆弱性にさらされ続けることになる。

　「Android 4.3」（開発コード名：「Jelly Bean」）以前のバージョンの同モバイルOSに搭載されているデフォルト（ノーブランド）のウェブブラウザには、既知のセキュリティバグが存在するが、これに対するパッチは提供されないという。GoogleでAndroid担当セキュリティ責任者を務めるAdrian Ludwig氏が、米国時間1月23日付けのGoogle+の投稿で述べた。

　「ソフトウェアを最新の状態に保つことが、セキュリティにおける最大の課題の1つである」とLudwig氏は記している。このブラウザアプリは、2年以上前にリリースされたバージョンの「WebKit」ブラウザエンジンをベースとしているため、Jelly Bean以前のバージョンのAndroidに存在する脆弱性を修正することを「安全に行うことは、もはや現実的ではない」と同氏は記した。

　Googleは24日、Ludwig氏の投稿が本件に対する同社の公式な姿勢であることを認めた。

　同社の決断に、セキュリティ専門家らは仰天した。Androidの古いバージョンを搭載するスマートフォンやタブレットを使用する膨大な数のユーザーが、容易にハッカーの標的になり得ることを懸念するためだ。Ludwig氏は、この脆弱性にさらされる可能性のあるユーザーの数は「日々減少している」と主張している。しかし、セキュリティ専門家らの目には、その減少のペースは十分には速くない。

　Googleが公表するAndroid利用状況によると、Android搭載スマートフォンおよびタブレットの39.1％に、この脆弱性の影響を受けない新しい「Android 4.4」（開発コード名：「KitKat」）が搭載されているという。2014年11月にリリースされた最新バージョンである「Android 5.0」（開発コード名：「Lollipop」）が占める割合は、使用されているAndroid端末の0.1％未満だ。つまり、Android端末の約60％に、脆弱性を抱えるデフォルトブラウザを含むバージョンのOSが搭載されていることになる。

　セキュリティ企業Rapid7のエンジニアリングマネージャーを務めるTod Beardsley氏は、膨大な数のユーザーが同一OSの多数の異なるバージョンを使用していることから、ユーザーの保護が格段に複雑になっているとブログ投稿に記した。「残念ながら、今回のことは犯罪者にとっては絶好のニュースだ。なぜなら本当に悪い人間にとって、ほとんどすべてが手中にあることになるからだ」（Beardsley氏）