Cyber Security News は2026年6月2日、Android のゼロデイ脆弱性 CVE-2025-48595 が標的型攻撃で悪用されていると報じた。
Google は2026年6月の Android Security Bulletin でこの脆弱性を取り上げ、限定的・標的型の悪用の兆候があるとした。脆弱性は Android Framework コンポーネントに存在する深刻度「高」の権限昇格(EoP)の問題で、ユーザー操作なしにローカルでの権限昇格が可能となる。
影響を受けるのは Android 14、15、16、16 QPR2 を搭載したデバイスである。CVE-2025-48595 はパッチレベル 2026-06-01 で修正され、2026-06-05 を適用すれば関連する脆弱性もまとめて解消される。ソースコードのパッチは Bulletin 公開後に Android Open Source Project(AOSP)のリポジトリへ公開される。
Google は一般公開の少なくとも1か月前に Android パートナーへ通知した。Android Security Team はユーザーと組織に最新のセキュリティパッチレベルへの更新を呼びかけた。
From: 
Android 0-Day Vulnerability Exploited in Attacks to Gain Complete Device Control
【編集部解説】
今回の事案で最も注意すべきは「深刻度の位置づけ」です。元記事は、悪用が観測された CVE-2025-48595 を、Bulletin で「最も深刻な問題」であるかのように読める形で紹介しています。しかし Google の公式 Bulletin を確認すると、その深刻度は「Critical(緊急)」ではなく「High(高)」に分類されています。Bulletin が「最も深刻」と位置づける Critical 級の脆弱性は別に複数存在し(その一つが CVE-2025-65018 です)、実際に悪用が観測されている本件とは区別して捉える必要があります。
もう一つ、正確を期すべき重要な事実があります。本件は「リモートからの権限昇格」ではなく「ローカルでの権限昇格」です。米 NIST の NVD と CISA-ADP が付与した CVSS ベクトルは攻撃元区分が「ローカル(AV:L)」であり、説明も「ローカルでの権限昇格」と明記されています。Google の Bulletin に登場する「remote escalation of privilege(リモートでの権限昇格)」という最重度の表現は、前述の Critical 脆弱性を指す文脈であり、本件にそのまま当てはめるのは正確ではありません。元記事の「リモートから」という記述は、この点で公式情報より強い表現になっています。
定量的な裏付けとして、CVE-2025-48595 の CVSS スコアは8.4とされています(NVD 本体は評価未提供で、CISA-ADP による評価です)。High の中でも上位に位置する値であり、「最上位の Critical ではないが、決して軽視できない」という温度感で受け止めるのが妥当でしょう。
悪用状況の表現にも触れておきます。公式 Bulletin の記述は「CVE-2025-48595 が限定的かつ標的型の悪用を受けている可能性を示す兆候がある」という、慎重な言い回しです。「悪用を確認した」と断定するより一段控えめなトーンであり、現時点では大規模な無差別攻撃ではなく、特定の対象を狙った限定的な動きと読むのが自然です。
では、なぜ注意が必要なのでしょうか。種別は権限昇格(EoP)で、原因は Android Framework 内の整数オーバーフロー(CWE-190)にあるとされます。ポイントは「ユーザー操作が不要」である点です。リンクのタップや不審なアプリのインストールといった「うっかり」を介さずに成立しうるため、利用者の注意深さだけでは防ぎきれません。ただし攻撃元はローカルであり、ネットワーク越しに離れた場所から成立する一般的なゼロクリック攻撃と同一視するのは適切ではありません。攻撃者が端末上に何らかの足がかりを得たうえで権限を奪う、という構図で捉えるのが正確です。
単体での影響に加えて注意したいのが、他の脆弱性との「連鎖」です。実際の攻撃では、この種の権限昇格が他のエクスプロイトと組み合わされ、データの窃取や監視、持続的なアクセスといった深刻な侵害につながりうると指摘されています。元記事の見出しにある「完全な端末制御」も、単体の CVE というより、こうした連鎖を念頭に置いた最悪シナリオの表現として読むのが妥当でしょう。
影響範囲は Android 14・15・16・16 QPR2 と、現行世代の広い層に及びます。ただし救いもあります。修正は 2026-06-01 のセキュリティパッチレベルに含まれており、上位の 2026-06-05 を適用すれば、カーネルやチップセットを含む関連修正もまとめて解消されます。つまり「2026-06-01 が本体、2026-06-05 が全部入り」という関係です。ソースコードについて、公式 Bulletin では「最初の公開から48時間以内に AOSP へ反映する」と明記されており、公開後に対応が進められています。
ここで日本の読者にとって重要なのが、Android 特有の「パッチギャップ」という構造問題です。Google が修正を出しても、それが各メーカー(OEM)を経由して実機に届くまでには時間差があります。元記事も指摘するとおり、パッチ適用の遅れは、既知の脆弱性を攻撃者に「武器化」させる主要な温床のひとつになっています。
「限定的・標的型」という言葉は、見方を変えると示唆的です。無差別ではなく特定個人を狙う攻撃は、しばしば商用スパイウェアや高度な攻撃主体の活動と結びついてきました。ジャーナリストや活動家、要人が標的になる構図は近年繰り返し報じられています。ただし本件については、Google が発見者・悪用手法・攻撃主体のいずれも公表しておらず、固有の根拠は明らかになっていません。あくまで一般的な傾向としての可能性にとどめて捉えるべき段階です。
規制・ガバナンスの観点では、こうした「ユーザー操作不要の監視型攻撃」が、各国でスパイウェア取引や輸出管理をめぐる議論を後押ししてきた経緯があります。技術的な修正と並行して、悪用市場そのものをどう抑止するかという制度設計が問われ続けるテーマです。
長期的には、攻撃者の関心が OS の中核コンポーネントへと向かう流れは強まっていくと、編集部は見ています。だからこそ、サンドボックスや Google Play Protect のような多層防御、そして何より「速やかなアップデート」という地味な習慣の価値が相対的に高まります。このニュースを今あえて取り上げるのは、派手な新技術の話ではなく、私たちが日々手にする端末の「信頼の土台」が、目に見えないところで日々守られ、試されているという事実を共有したいからです。
【用語解説】
CVE(CVE-2025-48595)
Common Vulnerabilities and Exposures の略で、公表された脆弱性に世界共通で割り振られる識別番号である。今回の番号は CVE-2025-48595。
Android Framework(コンポーネント)
アプリがやり取りする API やシステムサービスが集まった、Android の中核層を指す。ここに欠陥があると影響が広範囲に及びやすい。
整数オーバーフロー(CWE-190)
計算結果が、その値を格納するデータ型の上限を超えてしまい、想定外の挙動を引き起こす不具合を指す。攻撃者がこれを突いて不正なアクセスにつなげる場合がある。CVE-2025-48595 の原因とされる。
CVSS スコア
脆弱性の深刻度を0.0〜10.0の数値で示す国際的な指標である。今回の8.4は High(高)に相当する。あわせて示される「ベクトル」で攻撃元区分などの条件も読み取れる。
OEM
Original Equipment Manufacturer の略で、ここでは Android 端末を製造・販売する各メーカーを指す。Google の修正が実機へ届くかは OEM の対応に左右される。
パッチギャップ
脆弱性の修正が公開されてから、実際の端末に適用されるまでに生じる時間差を指す。この空白期間が攻撃の温床になりやすい。
【参考リンク】
Android Security Bulletin(2026年6月版)/ AOSP(外部)
Googleが毎月公開するAndroidの公式脆弱性情報。CVE一覧や深刻度、対象バージョン、パッチレベルを掲載した一次情報である。
NVD – CVE-2025-48595(NIST)(外部)
米NISTの脆弱性データベース。CVSSベクトルAV:L(ローカル)やCWE-190など、本件の技術的評価を確認できる一次的資料である。
Google Play Protect(外部)
Google Mobile Services搭載端末で既定で動作する保護機能。アプリを継続的にスキャンし、有害な可能性のあるものを警告する。
Google Mobile Services(GMS)(外部)
GoogleがAndroid向けに提供するアプリ・API群。Play Protectなどの保護機能の基盤となっている仕組みである。
CISA Known Exploited Vulnerabilities(KEV)Catalog(外部)
米国CISAが、実際に悪用が確認された脆弱性を登録・公開する目録。CVE-2025-48595も登録されている。
【参考記事】
CVE-2025-48595: June 2026 Android Security Update Fixes Framework Zero-Day(SOCRadar)(外部)
本件をCVSS8.4の整数オーバーフローと整理。計124件中18件がCriticalで、悪用された本件はHighだと区別して報じる。
Google’s June 2026 Android Patch: 124 Flaws Addressed(The Cyber Express)(外部)
計124件・うち18件がCriticalと報道。本件は2025年12月以降4件目のゼロデイで、商用スパイウェアとの関連を指摘する。
Google Patches Actively Exploited Android Flaw Affecting Millions of Devices(Security Affairs)(外部)
CVSS8.4の本件含む計124件を修正と報道。CISAのKEV追加やQualcomm等のチップセット修正にも言及している。
Google fixes actively exploited Android vulnerability (CVE-2025-48595)(Help Net Security)(外部)
対象がAndroid14・15・16・16 QPR2であることや、2026-06-01と2026-06-05の適用構造を整理して解説している。
Android June 2026 update patches actively exploited zero-day(CyberInsider)(外部)
Googleが用いた「兆候がある」という慎重な表現に注目し、発見者・手法・攻撃主体は非公表だと報じている記事である。
【関連記事】
Google Android 2025年9月セキュリティパッチ:111件の脆弱性修正、2件がすでに悪用済み
月次パッチと悪用ゼロデイ、ローカル権限昇格を扱った先行記事。本記事と論点が重なるシリーズ的内容である。
MediaTek製Android端末に重大脆弱性—電磁波攻撃でPINとストレージ暗号化が無効化される恐れ
OEM依存とパッチギャップという構造課題を正面から論じた記事。用語解説も本記事と共通する。
WhatsApp経由で拡散、Samsung画像処理ゼロデイ脆弱性とLANDFALLスパイウェアの脅威
Androidゼロデイと商用スパイウェア、チェーン攻撃の具体事例を扱った記事である。
Android脆弱性に緊急パッチ – USBポートを狙う標的型攻撃の痕跡をGoogleが確認
Googleが標的型悪用を明言した事例。本記事の「兆候がある」という慎重な公式表現の背景理解に役立つ。
【編集部後記】
「アップデートしてください」という通知を、つい後回しにしてしまうことはありませんか。私もそうです。けれど今回の事案は、その地味な一手間こそが、目に見えない攻撃から自分の端末を守る最前線なのだと、あらためて気づかせてくれます。
みなさんはふだん、更新通知とどう付き合っていますか。お使いの端末は、いまどのパッチレベルでしょうか。よかったら、設定画面を一度のぞいてみる時間を、この記事をきっかけに持っていただけたら嬉しいです。
