グーグルがAndroidの重大な脆弱性修正を公開し、全ユーザーに迅速なアップデート適用を呼びかけています。対象となる2件のゼロデイはCVE-2025-48633とCVE-2025-48572で、いずれも追加の実行権限を必要とせずにリモートからサービス拒否を引き起こす可能性があります。グーグルは限定的かつ標的型の悪用の兆候を確認しており、端末メーカーには48時間以内に新しいソースコードが届く運用です。12月の月例アップデートには、この2件に加えて100件を超えるパッチが含まれており、リスクの幅広さが示されています。月初の1日に公開された点も特徴で、四半期ごとに修正を束ねる新プロセスの一環として、相対的に重い月と軽い月を分ける運用が背景にあります。ただしゼロデイはプロセスにかかわらず即時パッチが原則であり、今回も例外ではありません。
ゼロデイの性質と企業に求められる初動対応
今回の高深刻度の2件はAndroidのフレームワークに起因し、リモートからのDoSを引き起こし得る点が共通しています。 グーグルは詳細の公表をアップデートの提供まで控える方針で、現時点での公開情報は限定的です。 悪用は限定的かつ標的型とされていますが、この種の攻撃は適用範囲が拡大したり他の脆弱性と連鎖して利用されるリスクがあるため、油断は禁物です。 米国のCISAが運用する既知悪用脆弱性カタログには米国時間11月1日終わり時点では未掲載でしたが、通常の手順に沿って24から48時間以内に追加される見通しとされています。 組織のセキュリティ担当者は、OEMからの配信開始を待たずに資産台帳で端末モデルとパッチレベルを棚卸しし、配信開始後ただちに優先順位付けして展開する計画を整えてください。 標的化リスクの高い役員端末や現場業務端末を優先し、適用確認のエビデンス収集までを初動の範囲に含めることが有効です。
メーカー別の配信とユーザーに求められる具体的アクション
サムスンのセキュリティ情報ページは記事掲載時点で12月分が未掲載でしたが、重大性から早期更新が見込まれます。ただしサムスンのGalaxyではインストールベース全体に行き渡るまで最大1カ月を要するため、ユーザー側の手動確認が重要です。Pixelでは提供開始後に比較的早く届く一方、Android全体ではOEMとキャリアの配信プロセスに差があることを前提に行動しましょう。ユーザーは利用端末のメーカー情報とアップデート案内を確認し、提供され次第ただちに適用することが強く推奨されます。セキュリティアップデートの提供対象外となった古い端末を使い続けている場合は、今回の規模を踏まえて買い替えの検討が現実的です。配信を待つ間は、不要なアプリの削除や不明な送信元のリンク回避、Wi-FiやBluetoothの管理など基本的な衛生対策を徹底し、被害の可能性を下げるようにしてください。
DX推進担当者への実務提言。 パッチ運用をビジネス継続計画に組み込む
企業は、グーグルの四半期サイクルと月例アップデートの組み合わせを前提に、モバイル端末のパッチ運用を定常プロセス化することが重要です。端末メーカーへ48時間以内にソースコードが提供される点を踏まえ、自社配信開始のSLA目標や段階的ロールアウトの基準を定義してください。MDMやEMMを活用してアップデートの強制、段階配信、失敗時のリトライといった制御を仕組み化し、ゼロデイ発生時の緊急フローを別途定義することが効果的です。Galaxyのように配信に時間差が生じる環境では、一時的に高リスク利用を抑制する運用上の回避策を用意し、重要システムや高権限アカウントへのアクセス制限をあわせて実施しましょう。資産台帳とパッチレベルの可視化ダッシュボードを整備し、経営層には適用率と未適用リスクを定量で報告できる体制が望まれます。今回の教訓は、モバイルの更新がビジネス継続計画の一部であるという点であり、次回以降のゼロデイでも迅速に反復できるよう、標準手順をドキュメント化しておくことが肝要です。
