深刻なゼロデイ脆弱性を緊急対応
Googleは2025年9月のAndroidセキュリティパッチを配信開始しました。今回の更新では合計84件の脆弱性が修正され、そのうち2件はすでに実際の攻撃に悪用されているゼロデイ脆弱性と確認されています。
修正対象となったのは「CVE-2025-38352」と「CVE-2025-48543」で、いずれも権限昇格につながる不具合です。1つはカーネルにおける権限昇格の欠陥、もう1つはアプリがサンドボックスを回避してシステム権限を取得できる可能性があるランタイムの不具合とされています。ユーザー側の操作なしに悪用される危険があるため、Googleは速やかなアップデート適用を呼びかけています。
「限定的かつ標的型」の悪用が確認
Googleは詳細を公表していませんが、これらの脆弱性が「限定的かつ標的を絞った形」で実際に利用されていたことを認めています。具体的な攻撃手法や複数の脆弱性が組み合わされていたかどうかについては不明ですが、放置すれば端末の完全な制御を奪われる可能性もあるとみられます。
そのほかの修正点
今回のアップデートでは、ゼロデイ以外にも複数の深刻な不具合が解消されています。なかでも注目されるのは、Androidシステムに存在していた「CVE-2025-48539」というリモートコード実行の脆弱性です。Wi-FiやBluetoothの通信範囲内にいる攻撃者が、ユーザーの操作なしに不正なコードを実行できる可能性があったとされ、危険度は「クリティカル」と判定されています。
さらに、Qualcomm、MediaTek、Arm、Imagination Technologiesといった各社のコンポーネントに存在する不具合もあわせて修正されています。
アップデート対象と入手方法
9月のセキュリティパッチはAOSPのAndroid 13から16までを対象とし、ビルド日は「2025-09-01」および「2025-09-05」となっています。完全な修正を受け取るには「2025-09-05」のパッチを適用する必要があります。
GoogleのPixelシリーズは順次アップデートが配信されますが、Samsung、Motorola、Nokiaなど他社端末も各メーカー独自のスケジュールで更新が提供されます。
更新を確認するには、
設定 > セキュリティとプライバシー > システムとアップデート > セキュリティアップデート
の順に進み、利用可能なパッチをダウンロード・インストールしてください。
早急なアップデートが推奨される理由
今回のゼロデイ脆弱性はすでに悪用が確認されており、特別な操作や権限が不要で侵害が成立する点が非常に危険です。特に公衆Wi-FiやBluetoothを日常的に利用するユーザーにとってはリスクが高まるため、通知が届き次第できるだけ早くアップデートを適用することを強く推奨します。
