概要:CISAがAndroidの脆弱性悪用に警鐘
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、現在積極的に悪用されている2つのAndroid Frameworkの脆弱性を「既知の悪用済み脆弱性(KEV)」カタログに追加し、組織およびデバイスユーザーに対し迅速な対応を促しています。この脆弱性は2025年12月2日に公式にリストアップされ、世界中の数百万のAndroidデバイスに深刻な脅威をもたらす可能性があります。
脆弱性の詳細:権限昇格と情報開示
今回CISAが警告を発した脆弱性は以下の2つです。
- CVE-2025-48572:Android Frameworkにおける権限昇格の脆弱性。攻撃者はこれにより、侵害されたデバイス上でのアクセスレベルを昇格させ、セキュリティ制限を回避して機密性の高いシステム機能を不正に制御できるようになります。
- CVE-2025-48633:Android Frameworkにおける情報開示の脆弱性。悪意のあるアクターが機密性の高いユーザーデータやシステム情報を窃取する可能性があります。
これらの脆弱性が組み合わされることで、攻撃者はシステムを完全に制御し、機密データを窃取するという複合的な脅威を生み出す可能性があります。
CISAの対応と修正期限
CISAは、KEVカタログを「積極的に悪用されているセキュリティ脆弱性の権威ある情報源」として維持しており、今回の追加はそのコミットメントを反映しています。カタログを通じて、ネットワーク防御者やセキュリティ専門家は、脆弱性管理の優先順位付けを効果的に行い、最も重要な箇所にリソースを集中させることができます。
CISAは、この脆弱性に対する修正期限を2025年12月23日と定めており、21日以内に対応を完了するよう求めています。組織はベンダーの指示に従い、速やかに軽減策を適用することが最優先事項です。パッチや軽減策の適用が困難な場合は、侵害を防ぐために影響を受ける製品の使用を中止する必要があるかもしれません。
脅威の背景と影響
Androidは世界のモバイル市場シェアの約70%を占めており、その広範な普及は攻撃者にとって魅力的なターゲットとなっています。このため、Androidを狙った脅威の状況は常に進化しています。今回のような権限昇格と情報開示の脆弱性の組み合わせは、攻撃者がこれらの脆弱性を順次悪用し、完全なシステム制御と機密データの持ち出しを行うことを可能にします。
CISAはKEVカタログをCSV、JSON、JSON Schema形式で提供しており、セキュリティツールやプラットフォームへのシームレスな統合を可能にすることで、限られたリソースの組織でもCISAのインテリジェンスを活用し、セキュリティ体制を強化できるよう支援しています。
組織への推奨される対策
企業組織は、以下の対策を講じる必要があります。
- モバイルデバイス管理(MDM)ソリューションを構成し、タイムリーなパッチ適用を強制すること。
- 従業員に対し、セキュリティアップデートを受け入れることの重要性を迅速に通知すること。
- CISAの勧告ガイダンスを参照し、明確なパッチ適用スケジュールを確立すること。
KEVカタログは、新たな悪用済み脆弱性が発見されるたびに継続的に更新されるため、防御側がアクティブな脅威活動に先行するための不可欠なツールであり続けます。