概要
Googleは2026年6月のAndroidセキュリティパッチを公開し、合計124件の脆弱性を修正した。今回のアップデートでとりわけ注目されるのは、Android Frameworkに存在する高深刻度のゼロデイ脆弱性CVE-2025-48595で、Googleは「限定的かつ標的型の悪用が確認されている」と明言している。この脆弱性はローカルの攻撃者がコード実行と権限昇格を組み合わせてデバイスを乗っ取ることを可能にするもので、Android 14・15・16・16 QPR2が影響範囲に含まれる。
パッチは2026-06-01と2026-06-05の2段階で配信される。2026-06-01が基本的な修正バンドルで、2026-06-05はサードパーティコンポーネントやカーネルを含む包括的なアップデートとなっている。Pixel端末には即時展開されるが、他メーカー製端末はデバイス固有のカスタマイズが必要なため配信に時間がかかる場合がある。
修正された脆弱性の詳細
今回のパッチでは18件のクリティカル脆弱性が修正されており、System・Framework・Qualcommコンポーネントにわたりサービス拒否(DoS)や権限昇格を引き起こし得る問題が解消されている。
特に危険度が高いとされるのがCVE-2025-65018で、Frameworkのクリティカルな欠陥としてユーザーの操作や追加権限なしにリモートからの権限昇格を可能にする。SystemコンポーネントでもCVE-2026-0043・CVE-2026-0097・CVE-2026-21352・CVE-2026-21353の4件がローカル権限昇格を可能にするクリティカル脆弱性として修正された。
QualcommコンポーネントではCVE-2025-47392・CVE-2026-25276・CVE-2026-25277の3件のクリティカル脆弱性が対処されたほか、MediaTek・Imagination Technologies・Unisocからのサードパーティ修正も含まれている。
背景と推奨対応
CVE-2025-48595の悪用は今回が初めてではない。Googleは昨年12月に2件(CVE-2025-48633、CVE-2025-48572)、今年3月にQualcommのディスプレイコンポーネントの脆弱性(CVE-2026-21385)について「限定的な標的型悪用の証跡あり」と開示しており、こうしたゼロデイへの標的型攻撃が継続的に行われていることが浮き彫りになっている。Googleは新しいAndroidバージョンほどプラットフォームのセキュリティ強化により悪用が困難になるとして、「可能な限り最新バージョンへのアップデート」を強く推奨している。
ユーザーへの具体的な推奨事項としては、(1) 利用端末のセキュリティパッチを速やかに適用する、(2) 信頼できないソースからのアプリのサイドロードを避ける、(3) Google Play Protectを常に有効にしておく、(4) メーカーのサポートが継続しているAndroidバージョンを使用する、の4点が挙げられている。