脆弱性の概要
Googleは2026年3月のAndroidセキュリティ情報において、Qualcommのオープンソースのグラフィックスコンポーネントに存在する脆弱性CVE-2026-21385が「限定的な標的型攻撃で悪用されている兆候がある」ことを公式に確認した。この脆弱性はCVSSスコア7.8(高深刻度)と評価されており、整数オーバーフローに起因するバッファオーバーリードの問題である。Qualcommのアドバイザリによれば、「利用可能なバッファ領域を確認せずにユーザー提供のデータを追加する際にメモリ破壊が発生する」と説明されている。
発見から修正までの経緯
この脆弱性は2025年12月18日にGoogleのAndroidセキュリティチームによってQualcommに報告された。その後、Qualcommは2026年2月2日に顧客(端末メーカー等)への通知を行い、Googleは2026年3月2日に公開したセキュリティ情報(パッチレベル2026-03-01および2026-03-05)で修正を提供した。さらに、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は3月3日にこの脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加し、連邦政府機関に対して3月24日までの修正適用を義務付けた。
3月のセキュリティ更新全体の状況
今回の3月セキュリティ情報にはCVE-2026-21385を含め、合計129件の脆弱性が修正されている。中でも注目すべきは、Systemコンポーネントにおけるリモートコード実行(RCE)の脆弱性CVE-2026-0006(重大度:Critical)や、Frameworkにおける権限昇格の脆弱性CVE-2026-0047、Systemにおけるサービス拒否(DoS)の脆弱性CVE-2025-48631、さらにカーネルレベルの権限昇格に関する7件の脆弱性が含まれている。Androidデバイスを利用するユーザーや組織は、端末メーカーから提供されるセキュリティアップデートを速やかに適用することが強く推奨される。