グーグル、すべてのAndroidユーザー向けに重大アップデートを公開

グーグルは、Androidが攻撃を受けていることを突如認め、追加の実行権限を必要とせずにリモートからサービス拒否（DoS）を引き起こすおそれのある2件の脆弱性に対する修正を慌ただしく公開した。端末メーカーは「48時間以内」に新しいソースコードを受け取ることになる。

グーグルによれば、「CVE-2025-48633」と「CVE-2025-48572」について、限定的かつ標的型の悪用が行われている「兆候」があるという。これら2件のゼロデイに加え、12月の月例アップデートには100件を超えるその他のパッチも含まれている。

悪用されているこれら高深刻度の脆弱性はいずれもAndroidのフレームワークに影響し、追加の実行権限を必要とせずにリモートからサービス拒否を引き起こす可能性がある。今回の悪用の背後には、何らかの悪意あるスパイウェアが存在すると見てほぼ間違いないだろう。アップデートがリリースされるまでは、グーグルはこれ以上の詳細を公表しないとしている。

グーグルが月初の1日に月例アップデートを公開したという事実は注目に値する。これほど多くの修正が含まれているのは、グーグルの新しいプロセスによるものであり、四半期ごとの包括的アップデートに修正をまとめることで、その間の月は相対的に軽くしているためだ。ただし、ゼロデイについては、そのプロセスにかかわらずいずれにせよ即時にパッチが当てられていただろう。

米国のサイバー防衛機関（CISA）が運用する「既知悪用脆弱性（Known Exploited Vulnerability）カタログ」には、米国時間11月1日の終わり時点ではいずれの脆弱性もまだ追加されていなかった。ただし、通常どおりのアップデート義務付けとともに、今後24〜48時間以内には両方が追加されると見てよい。

この日が終わる時点（米国版記事掲載時点）で、サムスンのセキュリティ情報ページにも12月のアップデートはまだ掲載されていなかった。ただし、その重大性に鑑みれば、ここも早急に更新されると考えられる。不運なことに、サムスンのGalaxyユーザーがこのアップデートをすぐに受け取れるわけではない。Pixel（やiPhone）とは異なり、サムスンのインストールベース全体にアップデートが行き渡るまでには、1カ月の時間を要するからだ。

ユーザーは、自身が使っているAndroid端末のメーカー（OEM）の案内を確認し、アップデートが提供され次第、速やかに適用することが強く推奨される。これらの攻撃は現時点では高度に標的型だが、この種の悪用は、適用範囲が広がったり、ほかの脆弱性と連鎖させて使われたりしがちである。

自分のAndroidスマートフォンがすでにセキュリティアップデートの提供対象外になっている場合は、買い替えを検討すべきだ。12月のリリースの規模は、その重要性を改めて思い起こさせるものになっている。