※本ページはプロモーションが含まれています

ほぼ毎日 ヤバいセキュリティ情報

「10億台が置き去り」の衝撃──Googleが“実攻撃”を認めたAndroid脆弱性と、海外が見ている本当の問題

Googleは9月のAndroidセキュリティ情報で、2件のゼロデイ脆弱性(CVE-2025-38352/CVE-2025-48543)について実際の悪用が確認された(またはその強い兆候がある)と明記しました。

Pixel向けの即日修正に加え、パートナー各社へはパッチが提供済み――しかしここで突きつけられるのは「パッチが“届く”とは限らない」というAndroid特有の構造的リスクです。

海外の専門報道・公的勧告は、今回のゼロデイ自体よりも、**修正が端末に届くまでの“長いサプライチェーン”**と、サポート外OSがなお巨大に残る現実を問題視しています。

何が起き、何が危ないのか

Googleが公表した技術文書では、Android Runtime(ART)とカーネル関連の不具合がユーザー操作なしに権限昇格へ至りうる点が最重要とされ、パッチレベルは2025-09-01または2025-09-05が安全の目安になります。

サードパーティの技術メディアや脆弱性のまとめ記事でも、限定的・標的型の悪用ながら実地攻撃が起きていると繰り返し報じられました。加えて、Qualcommコンポーネントの高深刻度脆弱性も複数同梱され、SoCベンダー→OEM→キャリア→端末という配信の多段性が、ユーザー側の「更新が来ない/遅い」体験につながりやすいと指摘されています。
Android Open Source ProjectHelp Net Securitydocs.qualcomm.com

海外が突いた“本当の問題”――パッチが届かない端末はなぜ減らないのか

今回のアップデート対象は実質Android 13〜16世代が中心です。一方でAndroid 12は2025年3月でサポート終了しており、Statcounterの世界シェアではAndroid 12が約11%、Android 11が約9%と、旧世代がまだ厚く残っています。世界の稼働端末を約33億と置く粗い見積もりでも、サポート外または更新不能な端末が“10億台規模”に達しうるという計算は、海外の調査会社レポート(「25.3%の端末は年式等でアップグレード不能」)とも整合します。つまり「脆弱性が危険」より先に、「修正が届かない母数が大きい」ことこそ、リスクの根本なのです。
StatCounter Global Statslp.zimperium.com

AndroidはProject Mainlineで一部コンポーネントをPlay経由で更新可能にしましたが、カーネル、ベースバンド、GPUドライバ等は依然としてOEM/SoCの裁量に左右されます。

結果として、Googleが“月例で塞いだ穴”が端末の寿命やメーカー方針の手前で滞留し、エンドユーザーまで到達しない現象が続きます。

海外の技術解説は、「モジュール化の成果」と「残る非モジュール領域」という二面性を冷静に描きます。
esper.io

公的勧告と市場の反応

米CISAや各国CERTの注意喚起は、今回のゼロデイを「限定的だが確認済みの悪用」として取り上げ、2025-09-05未満のパッチレベルはリスクと明言しました。

ニュースメディアも「今月は80〜120件規模の修正、うち2件は実攻撃下」とし、今すぐ更新の呼びかけを強めています。この“高頻度・高密度のパッチサイクル”自体が、モバイルが主要な侵入経路に育ったことの裏返しでもあります。
The Hacker NewsHKCERT

日本の読者が取るべき現実的な行動

まず個人は、端末の設定→セキュリティ→セキュリティ更新2025-09-01/05への更新を確認し、更新できない端末は乗り換えを検討してください。
Google Pixel 8以降や最新Galaxyなど、最長7年のOS/セキュリティ更新を掲げる機種が登場しており、「長期サポートを前提に端末を選ぶ」こと自体がもっとも確実な防御になります。

Play Protectを有効化し、不明ソースからのインストールは避ける――基本の徹底が、実地攻撃の多くを弾きます。
Google ヘルプTom's Guide

企業は、UEM/MDMで“最低パッチレベル=2025-09-05”を強制し、Android 12以下の社用・BYOD端末を段階的に社内網から退避させるのが国際標準の運用です。
加えて、モバイル脅威防御(MTD)を重ね、ネットワーク・アプリ・OS層のふるまい検知を常時走らせるべきだ――海外の年次レポートは、「モバイルが第一の攻撃経路」である現状をデータで示します。
更新不能端末の棚卸しと退役計画は、セキュリティだけでなくサプライチェーン管理の要でもあります。
zimperium.com

結論:問題は“脆弱性”より“更新の到達”

今回のゼロデイは氷山の一角で、**本丸は「修正が端末に届くか」**にあります。Androidという巨大生態系では、端末寿命・OEM方針・SoC依存が1本の線でつながらない限り、「既知の穴が埋まらない端末」が累積します。海外の視点は明快です――長期サポート端末を選び、旧端末を計画的に退役させる。それが“10億台問題”の唯一現実的な答えです。
フォーブス

参考(主要ソース)

  • Android Security Bulletin(2025年9月):ゼロデイ2件、パッチレベル2025-09-01/05の詳細。Android Open Source Project

  • Tom’s Guide/CyberScoop/The Hacker News:ゼロデイの悪用確認と修正件数に関する速報。Tom's GuideCyberScoopThe Hacker News

  • Statcounter:Androidバージョン別シェア(2025年8月、Android 12=約11%)。StatCounter Global Stats

  • Zimperium(2025 Global Mobile Threat Report):**「25.3%は更新不能」**など企業モバイルの実態。lp.zimperium.com

  • Project Mainline解説:モジュール化の到達点と限界の整理。esper.io

  • Pixelの7年アップデート方針(公式サポートページ)。Google ヘルプ

必要なら、この記事をWordPress向け(見出し・内部リンク・FAQスキーマ付きHTML)版に整形し、社内向け「最低パッチレベル運用ポリシー」雛形とセットでお渡しします。



-ほぼ毎日 ヤバいセキュリティ情報
-,

Copyright© IT小僧の時事放談 , 2025 All Rights Reserved Powered by AFFINGER5.