【ITニュース解説】Android Security Alert: Google Patches 120 Flaws, Including Two Zero-Days Under Attack

2025年09月03日に「The Hacker News」が公開したITニュース「Android Security Alert: Google Patches 120 Flaws, Including Two Zero-Days Under Attack」について初心者にもわかりやすいように丁寧に解説しています。

作成日: 2025年09月03日更新日: 2025年10月27日

ITニュース概要

GoogleがAndroid OSのセキュリティアップデートを公開。120件の脆弱性を修正し、うち2件は既に攻撃に悪用されている「ゼロデイ脆弱性」であった。Linuxカーネルの権限昇格の欠陥などが含まれており、早急な適用が推奨される。

出典: Android Security Alert: Google Patches 120 Flaws, Including Two Zero-Days Under Attack | The Hacker News公開日: 2025年09月03日

ITニュース解説

2025年9月、GoogleはAndroidオペレーティングシステム（OS）に関する月例のセキュリティアップデートを公開した。このアップデートは、スマートフォンやタブレットといった多くの人々が日常的に使用するデバイスの安全性を維持するために極めて重要なものである。今回修正されたセキュリティ上の欠陥、すなわち「脆弱性」の数は120件にものぼり、その中には特に緊急性の高い問題が含まれていた。

そもそも脆弱性とは、ソフトウェアやシステムに存在する設計上の誤りやプログラムの不具合といった弱点のことである。攻撃者はこの弱点を悪用することで、デバイスに不正にアクセスしたり、個人情報を盗み出したり、マルウェアと呼ばれる悪意のあるプログラムを感染させたりする。システムエンジニアを目指す上で、この脆弱性という概念を正しく理解することは、安全なシステムを構築し、運用するための第一歩となる。ソフトウェアは人間が作るものである以上、脆弱性が生まれることを完全に防ぐことは難しい。そのため、脆弱性が発見された際に、開発者が迅速に修正プログラム、通称「パッチ」を配布し、利用者がそれを適用することがセキュリティを保つ上で不可欠である。

今回のアップデートで特に注目すべきは、「ゼロデイ脆弱性」と呼ばれる特に危険な種類の脆弱性が2件修正された点である。ゼロデイ脆弱性とは、ソフトウェアの開発者自身がその存在に気づいていない、あるいは気づいていても修正パッチを提供する前に、攻撃者に知られてしまった脆弱性のことを指す。修正パッチが提供されてからの日数が「0日（ゼロデイ）」であることからこの名がついている。防御策が存在しない無防備な状態で攻撃が行われるため、被害が拡大しやすいという深刻な特徴を持つ。今回のAndroidのケースでは、これら2件のゼロデイ脆弱性が、既に特定の個人や組織を狙う「標的型攻撃」で実際に悪用されていたことが報告されている。これは、サイバー攻撃者がGoogleの修正よりも先にこの弱点を発見し、攻撃に利用していたことを意味しており、今回のアップデートが極めて緊急性の高いものであったことを示している。

修正された脆弱性の一つに「CVE-2025-38352」という識別番号が付けられたものがある。この「CVE」とは、個々の脆弱性を一意に識別するために割り振られる世界共通の管理番号であり、情報セキュリティの専門家が特定の脆弱性について議論する際に用いられる。この脆弱性は、Android OSの根幹をなす「Linuxカーネル」というコンポーネントに存在していた。AndroidはオープンソースのLinuxカーネルを基盤として開発されており、カーネルはOSの心臓部としてハードウェアの制御やプロセスの管理といった最も基本的な機能を担っている。そのため、カーネルに脆弱性が見つかると、システム全体に深刻な影響を及ぼす可能性が高くなる。

この脆弱性の種類は「権限昇格」と呼ばれるものであった。権限昇格とは、本来は制限された権限しか持たないアプリケーションやユーザーが、不正な手段を用いてシステム管理者（root）のようなより高いレベルの権限を奪い取れてしまう問題である。管理者権限を乗っ取られると、攻撃者はデバイス内のあらゆるデータへのアクセス、設定の自由な変更、新たなマルウェアのインストールなど、事実上デバイスを完全に制御することが可能になる。この脆弱性の深刻度を示す指標である「CVSSスコア」は7.4と評価された。CVSSは脆弱性の特性を分析し、その深刻度を0から10.0の数値で表す世界共通の評価システムであり、7.4というスコアは「High（高い）」レベルに分類される。これは、この脆弱性が放置されれば重大な被害につながる可能性が高いことを客観的に示している。

今回の出来事は、システムの開発や運用に携わるエンジニアにとって多くの教訓を含んでいる。第一に、脆弱性が発見された際に迅速にパッチを開発し、ユーザーに適用を促す「パッチ管理」の重要性である。第二に、AndroidがLinuxカーネルを基盤としているように、システムがどのようなコンポーネントで構成されているかを深く理解することの必要性である。システムの構造を理解していれば、潜在的なリスクを予測しやすくなる。そして第三に、CVE番号やCVSSスコアといった業界標準の情報を日常的に確認し、最新のセキュリティ動向を把握し続けることの重要性である。

Googleによる今回の迅速な対応は、多くのユーザーを潜在的な脅威から守るための重要な措置であった。利用者としては、デバイスからセキュリティアップデートの通知を受け取った際には、それを後回しにせず速やかに適用することが、自らの情報資産を守るための最も簡単かつ効果的な自己防衛策となる。安全なデジタル社会は、開発者の努力と利用者の意識の両輪によって支えられているのである。