はじめに
Googleは2025年12月のAndroidセキュリティ速報を公開し、合計107件の脆弱性に対処しました。その中には、すでに攻撃に悪用されている2件のゼロデイ脆弱性が含まれています。
悪用されたゼロデイ脆弱性の詳細
今回修正された悪用済みの高 severity 脆弱性は、CVE-2025-48633(情報漏洩)とCVE-2025-48572(権限昇格)です。これらはAndroidバージョン13から16に影響を与えます。Googleは技術的な詳細や悪用方法を公開していませんが、過去の類似の脆弱性は、商業スパイウェアや国家レベルの組織による少数の高関心標的を狙った攻撃に利用されてきました。
その他の重要な修正
今月のセキュリティアップデートで修正された脆弱性のうち、最も深刻度が高いとされているのは、Android Frameworkにおけるサービス拒否(DoS)の脆弱性CVE-2025-48631です。アップデートは2つのパッチレベルに分かれています。
- 2025-12-01パッチレベル:Android FrameworkおよびSystemコンポーネントにおける51件の脆弱性に対処。
- 2025-12-05パッチレベル:カーネルおよびサードパーティのクローズドソースコンポーネントにおける56件のバグに対処。これには、カーネルのPkvmおよびUOMMUサブコンポーネントにおける4件の深刻な権限昇格の脆弱性、およびQualcomm搭載デバイス向けの2件の深刻な修正(CVE-2025-47319およびCVE-2025-47372)が含まれます。
QualcommおよびMediaTek、Samsungからも、それぞれのセキュリティ速報が発行され、Googleのアップデート内容とベンダー固有の修正に関する詳細が提供されています。
ユーザーへの推奨事項
今回のアップデートはAndroid 13以降のデバイスが対象ですが、Android 10以降のデバイスでも、Google Playシステムアップデートを通じて一部の重要な修正を受け取ることができます。また、Google Play Protectは既知のマルウェアや攻撃チェーンを検知・ブロックできるため、すべてのAndroidユーザーはPlay Protectを最新の状態に保ち、有効にしておくべきです。古いAndroidバージョンを使用しているユーザーは、定期的にGoogleのセキュリティ修正を組み込むサードパーティディストリビューションに移行するか、より新しいサポート対象のデバイスモデルへの切り替えを検討することが推奨されます。