2025年7月、GoogleがAndroid向けセキュリティパッチの配信を行わなかったことが明らかになりました。2015年8月以降、毎月欠かさず提供されてきたセキュリティアップデートが、10年ぶりにストップするという異例の事態です。
Google、7月分のパッチ提供を見送り
7月8日、Googleは公式のセキュリティ情報ページにて、今月のAndroid向けパッチは「配信なし」と発表しました。理由についての説明はなく、Pixelシリーズを含むすべてのデバイスに対し、今月は更新が行われません。
6月にはAndroid 16がリリースされたばかりですが、どうやら現在のところ、深刻な脆弱性が検出されていない、あるいは修正の準備が整っていない可能性があると見られています。
これまでの10年間、月例更新は途切れず継続
Googleは2015年8月以降、毎月セキュリティパッチを公開し続けてきました。これらのパッチには、Google独自の修正に加え、Qualcommなどサードパーティ製チップセットの脆弱性に対応するコードも含まれており、Android全体の安全性を保つ上で重要な役割を果たしてきました。
今回のパッチ欠如は、そうした第三者とのスケジュール調整に何らかのズレがあった可能性も考えられます。
Qualcommは深刻な脆弱性を独自に警告
Googleが沈黙を保つ中、Qualcommは7月のセキュリティ情報の中で、CVE-2025-21450と呼ばれる重大な脆弱性の存在を公表しました。この問題は、100種類以上のチップセットに搭載されているGPSコンポーネントに関係し、「不適切な認証処理」によって、暗号化されたダウンロード処理に影響を及ぼす可能性があるとのことです。
詳細は非公開ですが、脆弱性の深刻度スコアは9.1(10点満点)と評価されており、放置すれば攻撃者に悪用される危険性は非常に高いと考えられます。
また、Samsungも同じ脆弱性を自社のセキュリティ情報の中で取り上げており、業界全体で警戒を強めていることが伺えます。
パッチがなくても脅威は存在する
Googleがパッチの提供を見送った月であっても、脅威がなくなるわけではありません。今回のQualcommの発表は、その典型的な例と言えるでしょう。Androidというオープンプラットフォームにおいて、OSベンダー、チップメーカー、デバイスメーカーの連携が欠かせない中、セキュリティ情報の非対称性は今後の課題となりそうです。
今後、Googleがどのように対応するか、また8月以降の更新スケジュールに影響が出るのか注目されます。ユーザーとしては、OSのアップデートだけでなく、サードパーティからの情報にも目を向ける必要がある時代が続いていると言えるでしょう。
