ハードウェアやソフトウェアを常に最新の状態に保つ作業は手間がかかる。しかし、現在進行中のセキュリティ脅威から身を守るためには、無視できないアップデートが存在する。Googleが公開した最新の「Android」アップデートもそれに当たる。
米国時間12月1日に公開された「Androidのセキュリティに関する公開情報」では、合計107件のセキュリティ脆弱(ぜいじゃく)性が修正された。影響を受けるのはAndroid 13~16までの全バージョンであり、深刻度の評価は大半が「高(High)」、一部が「中(Moderate)」とされている。さらに、複数の脆弱性は「重大(Critical)」に分類されており、これらは特に危険性が高いことを意味する。
重大な欠陥のうち4件はAndroidのコアカーネルに影響を与える。これらが悪用されると、攻撃者は感染したデバイスでより高い権限やアクセス権を取得し、事実上デバイスを制御できるようになる。また、別の重大な脆弱性は、アプリが主要なシステムサービスと連携するためのAndroid Frameworkに存在する。この欠陥を利用されると、リモートでサービス拒否(DoS)攻撃が実行され、ユーザーがデバイスを正常に使用できなくなる恐れがある。
「高(High)」と評価された欠陥の中にも、深刻な脅威をもたらすものがある。Googleと、既知の脆弱性カタログを管理するサイバーセキュリティ・インフラセキュリティ庁(CISA)によれば、このうち2件は標的型攻撃ですでに悪用された可能性があるという。CISAは独自のニュースリリースで、こうしたセキュリティバグがサイバー犯罪者にとって頻繁な攻撃ベクトルであると指摘している。
そのうちの1件、「CVE-2025-48572」はAndroid Frameworkにおける権限昇格の脆弱性である。この欠陥を悪用すれば、攻撃者はシステム設定の変更、データの窃取、さらにはデバイスの制御が可能になる。もう1件の「CVE-2025-48633」は、同じくAndroid Frameworkに存在する情報漏えいの脆弱性であり、攻撃者がデバイスから機密性の高い情報を取得できる恐れがある。
CISAの勧告は連邦政府機関を対象としているが、同機関は全ての組織に対し、最新のアップデートとパッチを適用することでサイバー攻撃へのリスクを減らすよう強く促している。
この記事は海外Ziff Davis発の記事を4Xが日本向けに編集したものです。
ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)
WACOCA: People, Life, Style.