グーグルはAndroidに対する攻撃発生を認め、追加権限なしでリモートからサービス拒否を引き起こすおそれがある2件の脆弱性を修正しました。該当するCVEはCVE-2025-48633とCVE-2025-48572で、同社は限定的かつ標的型の悪用兆候があると述べています。端末メーカーには48時間以内に新しいソースコードが提供される見通しで、12月の月例アップデートには100件を超えるその他のパッチも含まれています。いずれのゼロデイもAndroidフレームワークに影響し、遠隔からのサービス拒否が可能となる点が深刻です。詳細はアップデート公開まで明かされない方針で、迅速な適用が求められます。
今回の公開は月初の1日に行われ、四半期ごとの包括的アップデートに修正を集約する新プロセスの影響で今月は修正数が多くなりました。一方で、ゼロデイはプロセスに関わらず即時対応される性質を持ちます。米国のサイバー防衛機関が運用する既知悪用脆弱性カタログには、米国時間11月1日終わり時点ではまだ未掲載でしたが、通常の運用に従い24〜48時間以内に追加されると見られます。サムスンのセキュリティ情報ページにも当時点では12月の内容が未掲載でしたが、その重大性から早期更新が予想されます。サムスンのGalaxyはインストールベース全体への配信に最大1カ月かかることがあり、即日配信されるPixelと比べて時間差が生じます。
実務的には、まず自社や個人で利用するAndroid端末のOEMごとの配信予定を確認し、通知到着後すぐに適用する体制を整えることが肝要です。企業はモバイル端末管理を通じて最新パッチの適用状況を可視化し、遅延端末には接続制限を設けるとよいでしょう。対象外端末がある場合は買い替え計画を速やかに立て、更新サイクルを年次で点検することをおすすめします。標的型の段階でも、悪用は他の脆弱性と連鎖し被害が広がるおそれがあります。公開情報が限定的な現時点では、アップデート適用、不要なサービスの無効化、未知のリンクやMMSの回避など基本対策を徹底してください。
