Googleは2026年6月のAndroidセキュリティパッチをリリースし、標的型攻撃で悪用が確認されているゼロデイ脆弱性を含む計124件の脆弱性を修正しました。
現在活発に悪用されているこの高深刻度のAndroid Framework脆弱性(CVE-2025-48595)は、ローカルの攻撃者がAndroid 14以降を搭載したデバイス上でコードを実行し、権限を昇格させるために利用できます。
「CVE-2025-48595が限定的な標的型攻撃に使用されている可能性を示す情報があります」と、同社は月曜日に公開した2025年3月のAndroidセキュリティ情報の中で述べています。
「Androidの新しいバージョンに施された機能強化により、多くの問題における悪用はより困難になっています。可能な限り、最新バージョンのAndroidへのアップデートをすべてのユーザーに推奨します。」
Googleはこの脆弱性の技術的な詳細や、進行中の攻撃に関する詳細情報をまだ公開していませんが、同様の脆弱性はこれまでも、商業スパイウェアや国家関与の攻撃グループによって著名人や要注目の人物を標的にした作戦で悪用されてきた経緯があります。
今月のAndroidセキュリティアップデートでは、System、Framework、Qualcommクローズドソースコンポーネントにわたる18件のクリティカルな脆弱性が修正されました。これらはパッチ未適用のAndroidデバイスに対してサービス拒否(DoS)状態の引き起こしや権限昇格に悪用される恐れがあります。
「これらの問題の中で最も深刻なのは、Frameworkコンポーネントに存在するクリティカルなセキュリティ脆弱性です。この脆弱性により、追加の実行権限なしにリモートでの権限昇格が可能になります。悪用にユーザーの操作は不要です」とGoogleは付け加えています。
Googleは月曜日に2つのパッチセットを公開しました。2026-06-01と2026-06-05のセキュリティパッチレベルで、後者は前者のすべての修正を含むほか、すべてのAndroidデバイスに適用されるとは限らないサードパーティのクローズドソースコンポーネントやカーネルサブコンポーネントへのパッチも束ねて提供しています。
Google Pixelデバイスはこれらのセキュリティアップデートを即座に受け取りますが、他のメーカーでは特定のハードウェア構成向けにテストや調整を行うため、適用に時間がかかることが多いです。
BleepingComputerがCVE-2025-48595に関連する攻撃の詳細および標的についてGoogleに問い合わせた時点では、広報担当者からの即時の回答は得られませんでした。
Googleは12月にも高深刻度のゼロデイ2件(CVE-2025-48633およびCVE-2025-48572)のパッチを公開し、3月にはQualcommのディスプレイコンポーネントに存在するゼロデイ脆弱性(CVE-2026-21385)への対処も行っており、いずれも「限定的な標的型攻撃での悪用が確認されている」と位置づけられていました。
先月には、AndroidおよびChromeの脆弱性報奨金プログラムを刷新し、一部のAndroidエクスプロイトに対して最大150万ドルの報奨金を設定する一方、人工知能(AI)を用いて発見しやすい脆弱性への報奨金は引き下げました。
バリデーションのギャップ:自動ペネトレーションテストが答えるのは1つの問いだけ。必要なのは6つです。
自動ペネトレーションテストツールは確かな価値を提供しますが、その設計目的は「攻撃者がネットワーク内を横断できるか」という一つの問いに答えることにとどまっています。コントロールが脅威をブロックできるか、検知ルールが発動するか、クラウド設定が正しく維持されているかを検証する設計にはなっていません。
本ガイドでは、実際に検証すべき6つのサーフェスを解説します。
