Adobe Commerce / Magento Open Source 2.4.9ではなにが変わったのか

日本時間の2026年5月13日、1年ぶりとなるAdobe CommerceとMagento Open Sourceの新バージョンが出ました。
以前であれば「ここが変わった」という内容をお届けしていたのですが、ここ最近は大きな変化がないので中々大きく取り上げにくい状況が続いています。

今回はリリースノートを踏まえながら、どのような点が変わったのかについて解説をしていきたいと思います。

Adobe Commerce / Magento Open Source 2.4.9のハイライト

リリースノートで触れられているハイライトは以下の9点です。

  • PHPとComposer
  • プラットフォームとインフラ構成
  • フレームワーク
  • セキュリティ
  • REST API
  • GraphQL API
  • 管理画面UI
  • Braintree
  • 配送

重要度の順に解説していきましょう。

PHPとComposer

まずはPHP対応バージョンの更新です。

  • PHP 8.5 と 8.4 を完全サポート。PHP 8.3 はアップグレード用途のみ許容(本番環境での利用は非推奨)。
  • PHP 8.2 のサポートは終了。
  • Composer 2.9 との互換性を確認済み。 

となっています。このあたりは予告されていたものなので、計画通りですね。
2.4.8系以前からのアップデート時にはどのPHPバージョンを使用してアップデートするかを検討するとよいでしょう。

プラットフォームとインフラ構成

続いてPHP以外のミドルウェアと依存関係です。

  • Valkey 9.x のサポートを追加。Redis 7.2 のサポート終了。ライセンス変更を受けた代替として推奨。
  • OpenSearch 3.x に完全対応。最新マイナーバージョンが推奨検索エンジン。OpenSearch 2.x との後方互換性も維持。
  • MariaDB 11.8 / 12.x をサポート追加。
  • RabbitMQ 4.2 の互換性を追加(短期的な移行パス)。長期的には Apache ActiveMQ Artemis への移行を推奨。
  • PHPUnit 12 への対応完了。 

MySQL 8.0とMariaDB 10.6のサポートが廃止されている点に注意が必要ですね。
MySQL 8.4 LTS や MariaDB 11.4 LTS で稼働していない環境からのアップデートについては事前にデータベースサーバーの更新が必要です。

フレームワーク

フレームワークについては色々と手が入っています。

  • Symfony 7.4 LTS への全面対応。
  • Laminas MVC をネイティブMVC実装に置き換え。PHP 8.5 以降の長期互換性を確保。
  • Zend_Cache を Symfony Cache コンポーネントに置き換え。
  • TinyMCE WYSIWYGエディタを HugeRTE(オープンソース)に移行。TinyMCE 5/6 のサポート終了・ライセンス問題への対応。
  • サードパーティ製OAuthライブラリ(carlos-mg89/oauth)を PHP ネイティブ関数に置き換え。
  • JWT フレームワークを最新メジャーバージョンに更新。
  • マルチテーマ・マルチロケールストアで SRI ハッシュをエリア/テーマ/ロケール別ファイルに分割。ページロード時間の短縮とメモリ使用量の削減を実現。

Magentoフレームワークは長らくZend FrameworkやLaminas Frameworkを多用してきましたが、Laminas Framework自体のメンテナンス継続が問題になっています。
今回のバージョンアップではLaminas MVCを従来との互換性がある独自実装に置き換えたり、Zend_Cacheを置き換えたりしています。

また、TinyMCEがHugeRTEに置き換わっているため、WYSIWYGエディタ関係のカスタマイズをしている場合は注意が必要です。
その他、OAuthやJWTフレームワークの更新・置き換えが行われているのはセキュリティ対応です。
Content Security PolicyにおけるSub Resource Integrity(SRI)が改修されただけにとどまっています。
つまり、PHPやミドルウェアレベルでのパフォーマンス改善の影響は受けるかもしれませんが、2.4.9ではアプリケーションとしてのパフォーマンス改善はなさそうだ、と言ってよいでしょう。

セキュリティ

セキュリティ面はCAPTCHAやreCAPTCHA、二要素認証が中心です。
Braintreeは日本国内のアカウントでは利用できないので、越境で現地アカウントを持っている事業者が対象です。

  • CAPTCHA / reCAPTCHA が有効な場合、REST API および GraphQL 経由でのアカウント作成にも同じバリデーションを適用。
  • 複数の2FAプロバイダーが有効な場合、管理者ユーザーはそのうち1つを設定するだけでログイン可能に(従来は全プロバイダーの設定が必須だった)。
  • APSB25-08 セキュリティパッチ適用後に発生していた非同期/バルクリクエストのパフォーマンス低下を修正。
  • Braintree の Cardinal(3-D セキュア)統合に対応した CSP(コンテンツセキュリティポリシー)を更新。

上記に含まれない修正として、APSB25-94の対応があります。こちらは2.4.9にだけ行われているもので、2.4.8以前のバージョンにはバックポートされていません。

REST API

REST APIは商品画像管理のエンドポイントが改修されています。

  • 商品ギャラリーのストアビュー継承制御。(ACP2E-4358)
  • ストアビューレベルで REST API 経由の商品更新を行う際の挙動が改善。
  • media_gallery_entries をペイロードから省略 or NULL に設定 → グローバルスコープの変更をストアビューに引き継がないように修正。(従来は意図せず継承されていた)
  • media_gallery_entries 内の個別フィールド(label、position、disabled、video_title など)を NULL に設定 → デフォルト/グローバルの値に継承を復元できるように修正。

GraphQL API

GraphQLはAdobe Commerce Cloud ServiceやAdobe Commerce Optimizer等との連携もあるので、色々と改修されています。

  • clearCart ミューテーションが Magento Open Source でも利用可能に(従来は Adobe Commerce のみ)。
  • clearWishlist ミューテーションを新規追加。ウィッシュリストの全アイテムを一括削除可能。
  • exchangeExternalCustomerToken ミューテーションを新規追加。インテグレーショントークンによるユーザー認証とカスタマートークンの取得が可能。
  • OrderTotal に grand_total_excl_tax フィールドを追加。税抜き合計金額を直接取得可能。
  • 在庫切れ商品でも過去の注文履歴に完全な商品情報を表示。
  • reCAPTCHA バリデーションを updateCustomer、updateCustomerV2、contactUs、applyCouponsToCart の各ミューテーションに追加。
  • B2B GraphQL API の customer_id フィールドを復元・正常化。

管理画面UI

管理画面においては多少利便性が改善されています。
以下の3点が変更点です。

  • カタログ価格ルールグリッドに アクションメニューを追加。複数ルールの一括有効化・無効化・削除が可能に(カート価格ルールと同等の機能)。
  • コンテンツステージングのプレビューでモバイル表示シミュレーションをサポート。ステージング更新がモバイルでどう見えるか事前確認可能。
  • ゲストログイン時のカートマージ挙動を設定可能に(Guest Priority / Customer Priority / Merge Quantities)。「Stores > Configuration > Sales > Checkout」より設定。

Braintree(Adobe Commerceのみ)

Braintreeは日本国内で利用される方は少ないと思うので、影響は大きくないと思いますが、Adobe Commerce に限定して改修が行われています。

  • Google Pay / Apple Pay のエクスプレス支払い画面内でプロモーション・クーポンコードを直接適用可能。
  • Apple Pay が Safari だけでなく Chrome・Firefox でも利用可能に(QRコードスキャンによる決済)。
  • PayPal Express の配送コールバックをクライアントサイドからサーバーサイドに移行。動的な配送方法とリアルタイムコスト計算が可能。

配送

配送方法についてはAPI連携が標準で搭載されているもののうち、USPSとDHLに改修が行われていますね。

  • USPS 連携をレガシー Web Tools API から新しい RESTful API(OAuth 2.0、JSON形式)に移行。デュアルAPI設定対応。
  • DHL 連携を MyDHL RESTful API に対応。レガシー XML API との後方互換性も維持。

開発者目線で感じること

そもそも、現在のAdobe Commerce / Magento Open Sourceのバージョン番号というのは、

2・・・アーキテクチャレベルのバージョン
4・・・メジャーバージョン
9・・・マイナーバージョン
p1・・・セキュリティリリース

という形で管理されています。そのため、同じメジャーバージョン内であれば「比較的」互換性は保たれています。
(部分的に後方互換性がない修正が入っていることはよくありますが)

よって、2.4.9が2.4.8より以前のバージョンに比べて「劇的に進化した」という印象はありません。
ただ、PHPやミドルウェアといった環境の変化であったり、セキュリティ面の強化といった必要な改修は行われています。

今回のバージョンアップで注意すべき点は、

  • Laminas MVCを独自実装にリプレースした
  • Zend_CacheをSymfony Cacheにリプレースした
  • MySQL 8.0 / MariaDB10.6のサポートを廃止した

というフレームワークレベル・ミドルウェア対応の変更でしょう。
データベースの移行はデータ量によっては大変な作業になることがあるため、計画を念入りに立てて行うのが良いでしょう。

そしてなによりも2.4.8以前のバージョンに対してバックポートされていない、APSB25-94(通称 PolyShell)の修正です。
これは2.4.9にしか正式に実装されていません。
この点についてはAdobe側の対応が非常に不誠実であると言えます。本来であれば公式サポートを提供しているバージョンについては2.4.9のリリースと同時に対応コードを展開するべきなのですが、Magento Open SourceはともかくとしてAdobe Commerceの利用者にすら提供していないのはかなり問題があると言えます。

まとめ

Adobe Commerce / Magento Open Source 2.4.9は、基本的にこれまでの2.4.7や2.4.8のリリースと同様に、

  • ミドルウェアの更新に伴う対応
  • 不具合の修正
  • フレームワークの改修
  • API周りの拡充
  • 外部連携先の仕様変更に対する対応

が主な変更点です。
ただし、最も大きな違いは、APSB25-94(PolyShell)の公式対応は2.4.9にしか搭載されていないという点です。

それ以外については劇的な進化や目立った新機能は今のところはありません。
時代の変化に即した対応については、サードパーティ製のエクステンションや独自実装で補っていくのがAdobe Commerce / Magento OpenSourceにおける調整になると言えるでしょう。