グーグル、Androidへの攻撃の兆候を認める──10億台規模のスマートフォンは修正されず（Forbes JAPAN）

グーグルは、2つの異なる脆弱性が実際に悪用されている兆候を認め、すべてのAndroidユーザーに対して重大な警告を発した。今月のセキュリティアップデートは深刻なものであり、グーグルは対象となるすべてのPixelデバイスに迅速な修正を適用する予定である。 悪用が確認された2つの深刻度の高い脆弱性（CVE-2025-38352およびCVE-2025-48543）は、それぞれAndroidカーネルとAndroidランタイムに影響する。例によって、グーグルはこの初期段階で具体的な技術詳細を公表していない。 このほかにも、4つの緊急性の高い修正（CVE-2025-48539、CVE-2025-21450、CVE-2025-21483、CVE-2025-27034）がある。最初の脆弱性はAndroidシステムの問題で、残る3つはクアルコム製チップセットと、それに対するメーカーからの修正リリースに関連するものだ。 グーグルによると、CVE-2025-38352とCVE-2025-48543は深く懸念されるもので、どちらも「追加の実行権限を必要とせずに、ローカルで権限昇格につながる可能性がある」という。さらに憂慮すべきは、「悪用に際してユーザーの操作は不要」という点だ。 Pixelデバイスは直ちにアップデートされる一方、他のOEMメーカーには「今後48時間以内」に修正パッチが提供され、各社は月例のセキュリティ情報やファームウェアリリースを更新する必要がある。今後数週間にわたり、通常通りのスケジュールで展開される見込みである。 ■Android 12は2025年3月にサポートが終了、セキュリティアップデート期間が短いスマホも注意 また、この修正を受けられるのは、月例セキュリティアップデートの対象となっているデバイスに限られる点に注意が必要だ。 たとえば、2021年公開のAndroid 12、2022年公開のAndroid 12Lはすでにサポートが2025年3月に終了している。さらにスマホメーカーや通信事業者によりセキュリティアップデート期間が異なるため、利用中のスマホが該当するかどうかユーザーは自分で確認する必要がある。Pixel 8以降やGalaxy S24以降は7年間のOSアップデートおよびセキュリティアップデート期間としているが、2～3年程度と期間が短いメーカーやスマホもある。 こういった事情から、アップデート不可能な古いバージョンのAndroidスマートフォンを利用している者は少なくない。そのため、10億台規模のAndroidスマートフォンがすでにいかなるサポート対象からも外れている可能性がある。 ●古い端末は、買い替えによるアップグレードを強く推奨 ソフトウェアを更新できない古いデバイスの所有者に対し、端末の買い替えによるアップグレードが強く推奨されるのは、まさにこのためである。そうしない限り、自身のデータとデバイスは危険にさらされ続ける。 セキュリティ企業のZimperium（ジンペリウム）は、「デバイスが古いために、相当な割合（25.3％）のデバイスがアップグレード不可能である」と警告している。そして、アップデートの遅れがこの問題をさらに悪化させる。そして「年間を通じていかなる時点をみても、モバイルデバイスの50％以上が古いOSバージョンを実行しており、そのうち相当数が侵害されているか、感染している」のだ。