Googleは2026年6月1日付けのAndroidセキュリティ情報(2026年6月版)において、深刻度「高」のAndroidゼロデイ脆弱性CVE-2025-48595が実際に悪用されていることを正式に認めました。
この脆弱性はAndroid Frameworkコンポーネントに存在しており、整数オーバーフローを通じてローカルでの権限昇格を可能にします。ユーザーの操作や追加の実行権限を一切必要とせず、数億台ものデバイスが直ちに危険にさらされる状況となっています。
Googleによると、CVE-2025-48595の原因は、Android Frameworkコンポーネント内の複数箇所に存在する整数オーバーフローです。
この脆弱性が悪用されると、オーバーフローによってローカルでの高権限コード実行への経路が生まれ、攻撃者は侵入時点で特権を持たない状態であっても、標的デバイスをシステムレベルで制御できるようになります。
特に危険なのは、攻撃にユーザーの操作がまったく不要な点です。フィッシングの誘導も、悪意あるリンクも、アプリのインストールも必要なく、コンシューマー向け・エンタープライズ向けを問わず、あらゆるAndroidデバイスにとって極めて脅威となっています。
2026年6月版のセキュリティ情報は規模が大きく、Framework、System、Kernel、そしてサードパーティのチップセットコンポーネントにわたる多数の脆弱性に対処しています。
Frameworkセクションだけでも20件を超える深刻度「高」の権限昇格(EoP)脆弱性が修正されていますが、CVE-2025-48595は実際の攻撃への悪用が確認されている点で、他の脆弱性とは一線を画しています。
Googleはセキュリティ情報の中で次のように明記しています。「CVE-2025-48595が限定的・標的型の悪用を受けている可能性があるという情報があります。」
この表現は、2025年12月版セキュリティ情報など過去のAndroidゼロデイ情報開示で見られたパターンと一致しています。同情報ではCVE-2025-48633およびCVE-2025-48572の悪用が確認され、24時間以内にCISAの既知悪用脆弱性(KEV)カタログへ追加されています。
2026年6月版セキュリティ情報を調査するセキュリティ研究者たちは、今回の脆弱性を今年最も緊急性の高いAndroidパッチのひとつに位置づけています。実際の悪用が確認されていることから、標的型の脅威アクターが高価値なAndroidデバイスのユーザーを狙ったツールチェーンを運用している可能性が示唆されています。
2026年6月版Androidセキュリティ情報では、Framework(30件超のCVE)、System(35件超のCVE)、Kernel、ベンダー固有コンポーネントにわたる脆弱性が修正されています。
また、Systemコンポーネントにおいて深刻度「重大」に分類されるDoS脆弱性も複数修正されており、CVE-2026-0039、CVE-2026-0040、CVE-2026-0041、CVE-2026-0042はいずれもAndroid 14から16-QPR2に影響します。
今回の脆弱性はAndroid 14、15、16、および16-QPR2に影響し、これらは現在世界中で稼働しているAndroidデバイスの大多数を占めています。セキュリティパッチレベルが2026-06-05以降のデバイスは完全に保護されています。
ソースコードのパッチは、6月1日のセキュリティ情報公開から48時間以内にAndroidオープンソースプロジェクト(AOSP)リポジトリに公開される予定です。
パッチ適用状況の確認方法:「設定」→「デバイス情報」→「Androidバージョン」→「セキュリティパッチレベル」の順に進んでください。
Google Playプロテクトは、すべてのGoogleモバイルサービス対応デバイスでデフォルト有効になっており、この脆弱性に関連する悪用の監視を継続しています。各デバイスへのパッチ展開が進む中、追加の検出レイヤーとして機能しています。
翻訳元: https://cyberpress.org/android-0-day-vulnerability-exploited/