2026年6月のAndroidセキュリティ情報(Android Security Bulletin)で、Googleは積極的に悪用されているゼロデイ脆弱性CVE-2025-48595を修正した。Android OSの中核であるFrameworkに存在する整数オーバーフローのバグで、ユーザーの操作を一切必要とせずに端末上で権限を昇格できる。CISAはこれをKnown Exploited Vulnerabilities(KEV)カタログに追加し、悪用が現実のものであると裏付けた。本稿では、この脆弱性がなぜ危険なのか、誰が狙うのか、そして業務でAndroid端末を扱う組織が確認すべきことを解説する。
概要
- CVE:CVE-2025-48595。Android Frameworkの整数オーバーフロー(CWE-190)。
- 影響:ローカルでの権限昇格。ユーザー操作不要・追加の実行権限不要で、深刻度はHigh。
- 影響バージョン:Android 14・15・16(および16-qpr2)。
- 悪用状況:Googleは「限定的かつ標的型の悪用が行われている可能性がある(limited, targeted exploitation)」と表現。CISA KEVに追加済み。
- 修正:2026年6月のAndroidセキュリティ情報で修正。パッチレベル2026-06-01(OSコア)/2026-06-05(カーネル・チップセット含む完全版)。
何が起きたのか
Googleは毎月Androidセキュリティ情報を公開し、その月に修正した脆弱性をまとめている。2026年6月版では多数の脆弱性が修正されたが、その中で唯一すでに悪用が観測されているゼロデイとして扱われたのがCVE-2025-48595だ。
注目すべきは、Googleが用いた「limited, targeted exploitation(限定的・標的型の悪用の可能性)」という言い回しだ。これはGoogleが、特定の対象を狙った攻撃が確認されているものの、不特定多数への広範なばらまき型悪用はまだ観測していない場合に使う定型表現である。過去の経緯から、この表現は商用スパイウェアベンダーや国家系の攻撃者が、ジャーナリスト・人権活動家・政府関係者・反体制派といった特定個人を標的にするケースと強く結びついてきた。つまり「街中の一般ユーザーが今すぐ無差別に襲われる」性質ではないが、「狙われたら静かに端末を完全掌握される」性質の脆弱性だ。
CISAはこの脆弱性をKEVカタログへ追加した。KEVは「実際に悪用されている」ことが確認された脆弱性のみが載るリストであり、米連邦機関には期限内のパッチ適用が義務付けられる。民間組織にとっても、KEV入りは「優先的に対処すべき」という明確なシグナルになる。
技術的な解説
整数オーバーフローとは何か
整数オーバーフロー(integer overflow)とは、計算結果がその値を格納する型の最大値を超えたときに、値が「一周して」想定外の小さな値(あるいは負の値)になってしまう現象だ。たとえば、ある処理が「確保すべきメモリのサイズ」を計算する際にオーバーフローが起きると、本来必要な量よりずっと小さなバッファしか確保されず、その後の書き込みがバッファの外側へはみ出す(バッファオーバーフロー)。この境界外への書き込みを攻撃者が制御できると、メモリ破壊を通じてコードの挙動を乗っ取り、権限昇格につながる。
「Framework」で起きることの重さ
CVE-2025-48595はAndroidのFramework層に存在する。Frameworkは、個々のアプリと低レベルのOSの間に位置し、アプリが利用するAPIやシステムサービスを提供する中核コンポーネントだ。ここでの権限昇格が成立すると、攻撃者は一介のアプリの権限を超えて、他のアプリのデータや端末全体の制御に手が届く。
重要なのは、この脆弱性がユーザー操作も追加の実行権限も必要としない点だ。攻撃の入口としては、悪意あるアプリのインストールが想定される。いったん端末上で動作する足がかり(たとえば一見無害なアプリ)を得れば、そこからこの脆弱性で権限を昇格し、メッセージ・写真・位置情報・認証情報などへアクセスできる。スパイウェアにとっては理想的な「最後のひと押し」となる部品だ。
なぜ「限定的・標的型」が逆に怖いのか
広範なばらまき型のマルウェアは派手で検知されやすい。一方、商用スパイウェアや国家系の標的型攻撃は少数の対象に対して静かに、痕跡を残さず行われる。被害者は自分が狙われていることに気づかないまま、通信内容・行動・人間関係を長期間監視される。ジャーナリストや活動家、機微な交渉に関わる経営層・法務担当などは、こうした攻撃の典型的な標的だ。「自分は有名人ではないから関係ない」という油断が、最も狙われやすい層を生む。
日本企業への影響
Androidは日本国内でも法人スマートフォンとして広く使われている。次の点に注意したい。
- 更新の遅れがそのままリスクになる:Androidはメーカー(OEM)ごとにアップデート配信のタイミングが異なる。Pixel系は比較的早いが、その他の端末では月例パッチの到達が遅れることがあり、「修正は出たが自分の端末にはまだ来ていない」状態が生まれる。
- BYOD・私物端末の業務利用が盲点になる:私物のAndroidで業務メールやチャットを扱っている場合、端末のパッチ適用状況を組織が把握できていないことが多い。
- 経営層・法務・研究開発は標的価値が高い:標的型スパイウェアは「重要な情報に触れる人」を狙う。M&Aや訴訟、先端技術に関わる担当者の端末は、一般従業員より優先的に守るべき対象だ。
- 古いAndroidは構造的に危険:影響は14・15・16だが、それ以前のサポートが切れたバージョンを使い続けている端末は、そもそも月例パッチの恩恵を受けられない。
今すぐ確認すべきポイント
1. パッチレベルを確認し、最新へ更新する
Androidの「設定 > デバイス情報 > Androidバージョン」で「Androidセキュリティアップデート」のパッチレベルを確認する。CVE-2025-48595の修正を含むのは2026-06-01以降(カーネル・チップセットまで含む完全版は2026-06-05)だ。これより古い場合は、システムアップデートを実行する。
2. MDM/EMSで端末全体のパッチ状況を可視化する
業務端末はMDM(Microsoft Intune・Google Endpoint Management等)でOSバージョンとセキュリティパッチレベルを一元的に可視化し、基準を満たさない端末をリスト化する。条件付きアクセスと連携し、パッチレベルが古い端末からは業務システムへのアクセスをブロックする運用が望ましい。
3. アプリの導入経路を絞る
この脆弱性の現実的な入口は「悪意あるアプリの実行」だ。次を徹底する。
- 提供元不明のアプリ(サイドローディング)のインストールを禁止・制限する
- 業務端末はマネージドなアプリストア/許可リストに限定し、Google Play Protectを有効にする
- 不要なアプリ・出所の怪しいアプリを棚卸しして削除する
4. 高リスク利用者には強化された保護を検討する
標的型攻撃に晒されやすい経営層・法務・ジャーナリスト等には、Googleの高度な保護機能プログラム(Advanced Protection)や、攻撃面を縮小したOS構成の利用を検討する。端末を定期的に再起動するだけでも、メモリ常駐型のスパイウェアの一部を排除できる場合がある。
5. KEVを運用に組み込む
CISA KEV入りした脆弱性は「悪用が確認済み」であり、対応の優先度を判断する最も実用的な指標のひとつだ。自社の資産(OS・ソフトウェア)がKEV掲載の脆弱性に該当しないかを定期的に突き合わせ、該当時は期限を決めて対処する運用を確立する。
参考情報
- Google: Android Security Bulletin — June 2026(CVE-2025-48595)
- Help Net Security: Google fixes actively exploited Android vulnerability (CVE-2025-48595)(2026年6月2日)
- CISA: Known Exploited Vulnerabilities Catalog
- The Cyber Express / SOCRadar: CVE-2025-48595 June 2026 Android Security Update analysis