Googleは、2025年12月のAndroidセキュリティ速報で、現在積極的に悪用されている2件の重大な脆弱性を含む、合計107件の脆弱性を修正しました。
12月のアップデートは、Android 13、14、15、16向けに提供されています。Androidベンダーには、公開の少なくとも1か月前にすべての問題が通知されますが、必ずしもすぐにすべての端末にパッチが届くとは限りません。
ご自身の端末のAndroidバージョン、セキュリティアップデートレベル、Google Playシステムアップデートは設定で確認できます。アップデートが利用可能になると通知が届きますが、自分で確認することも可能です。
ほとんどのスマートフォンでは、端末情報またはデバイス情報に進み、ソフトウェアアップデートをタップすると、新しいアップデートが利用可能かどうか確認できます。ただし、ブランドや機種、Androidバージョンによって多少手順が異なる場合があります。
お使いのAndroid端末のパッチレベルが2025-12-05以降であれば、これらの問題は修正されています。
端末を最新の状態に保つことで、既知の脆弱性から保護され、安全性を維持できます。
技術的詳細
現在積極的に悪用されている2件の脆弱性は、Androidアプリケーションフレームワーク層で発見されました。これは、アプリが基盤として利用するコアのJava/Kotlin API、システムサービス、コンポーネントのセットです。
Androidフレームワークは、アクティビティ、ビュー、通知、ストレージ、ネットワーキング、センサーなど、OSの機能に高レベルでアクセスできるようにする、事前構築済みのクラス、インターフェース、サービスの大規模なコレクションです。アプリのコードはこれらのフレームワークAPIを呼び出し、それがさらにシステムサービスやネイティブライブラリ、カーネルなどの下位層と連携します。
限定的かつ標的型の積極的な悪用が確認されている脆弱性は、以下の通りです:
- CVE-2025-48633:詳細は限定的です。脅威レベルを示すCVSSスコアもまだ公開されておらず、悪用の容易さも不明です。Googleが明らかにしたのは、フレームワーク層で発見され、「高リスク」と評価されたことのみです。ある情報源によれば、不適切な入力検証に起因し、ローカルアプリケーションが機密情報へアクセスできる可能性があるとされています。
- CVE-2025-48572(CVSSスコア10点中7.4):フレームワークコンポーネント内の不適切な入力検証により脆弱性が存在します。ローカルアプリケーションが任意のコードを実行できる可能性があります。
安全を保つために
現在判明している情報によれば、攻撃者はユーザーに悪意のあるアプリをインストールさせ、そのアプリが機密データへアクセスしたり、端末上でコードを実行したりする必要があります。
これは、以下の安全対策を守るもう一つの理由です:
- 可能な限り公式アプリストアからのみアプリをインストールし、SMS、メール、メッセージアプリ内のリンクで宣伝されているアプリのインストールは避けましょう。
- 金融系や小売系アプリをインストールする際は、単一の宣伝リンクを鵜呑みにせず、開発者名、ダウンロード数、ユーザーレビューを必ず確認しましょう。
- 端末を保護しましょう。Malwarebytes for Androidのような最新のリアルタイムマルウェア対策ソリューションを利用しましょう(本マルウェアもすでに検出可能です)。
- 権限をよく確認しましょう。そのアプリが本当に求めている権限が必要かどうかを考えましょう。特にアクセシビリティ、SMS、カメラアクセスを要求している場合は要注意です。
- Android本体、Google Playサービス、重要なアプリは常に最新の状態に保ち、最新のセキュリティ修正を受け取りましょう。
著者について
12年連続でMicrosoftの消費者向けセキュリティMVPを受賞。4か国語を話すことができる。高級なマホガニーと革張りの本の香りがする。
翻訳元: https://www.malwarebytes.com/blog/news/2025/12/google-patches-107-android-flaws
