Last Updated on 2025-05-06 16:59 by admin
Googleは2025年5月6日、46件のセキュリティ脆弱性を修正するAndroid向け月次セキュリティアップデートをリリースした。特に注目すべきは、実際に攻撃に悪用されていると報告されているCVE-2025-27363という脆弱性である。
この脆弱性はCVSSスコア8.1の高リスク評価を受けており、Androidのシステムコンポーネントに存在する。追加の実行権限を必要とせずにローカルコード実行を可能にし、ユーザーの操作なしで悪用できる特徴がある。
CVE-2025-27363はオープンソースのフォントレンダリングライブラリ「FreeType」に起因している。この脆弱性は2025年3月にMetaによって発見され、野生環境での悪用が報告された。
技術的には、TrueType GXおよび可変フォントファイルを解析する際に発生する境界外書き込み(out-of-bounds write)の脆弱性である。符号付きのshort型の値を符号なしのlong型変数に代入し、静的な値を加算することで整数オーバーフローが発生、小さすぎるヒープバッファが確保される問題がある。その結果、最大6つの符号付きlong型整数が範界外に書き込まれ、任意のコード実行を可能にする。
この脆弱性はFreeTypeバージョン2.13.0以下に影響し、2.13.0より新しいバージョンでは修正されている。FreeTypeはLinux、BSD、Android、iOS、ChromeOSなど多くのOSで使用されており、影響範囲は広大である。
Googleは「CVE-2025-27363が限定的かつ標的型の悪用の対象となっている可能性を示す兆候がある」と述べているが、攻撃の詳細は明らかにしていない。
今回の5月のアップデートでは、特権昇格、情報漏洩、サービス拒否を引き起こす可能性のあるAndroid Systemの他の8つの欠陥とFrameworkモジュールの15の欠陥も修正されている。
Googleはすべてのユーザーに対して、可能な限りAndroidの最新バージョンへのアップデートを推奨している。
from:Google Fixes Actively Exploited Android System Flaw in May 2025 Security Update
【編集部解説】
今回のAndroidセキュリティアップデートで修正された脆弱性「CVE-2025-27363」は、単なるバグ修正にとどまらない重大な意味を持っています。この脆弱性は、FreeTypeというオープンソースのフォントレンダリングライブラリに存在し、すでに「野生環境」で悪用されているという点で特に注目に値します。
FreeTypeライブラリは、Linux、BSD、Android、iOS、ChromeOSなど多くのオペレーティングシステムで使用されており、その影響範囲は非常に広範囲に及びます。特にAndroidシステムでは、フォント表示の基盤技術として組み込まれているため、ほぼすべてのAndroidデバイスが潜在的に影響を受ける可能性があったのです。
技術的な観点から見ると、この脆弱性は「境界外書き込み」(out-of-bounds write)と呼ばれるタイプのメモリ破壊攻撃を可能にします。具体的には、符号付きの短整数(short)値を符号なしの長整数(long)変数に代入し、さらに静的な値を加算することで整数オーバーフローが発生。その結果、必要なサイズよりも小さなヒープバッファが確保され、最大6つの符号付き長整数値がバッファの範囲外に書き込まれる問題が生じます。
この種の脆弱性が特に危険なのは、ユーザーの操作なしで悪用できる点です。つまり、悪意のあるフォントファイルを処理するだけで、攻撃者は任意のコードを実行できる可能性があります。フィッシングメールの添付ファイルや、ウェブサイトに埋め込まれたフォントなど、さまざまな攻撃ベクトルが考えられるでしょう。
興味深いのは、この脆弱性の修正自体は約2年前にすでに行われていたという点です。FreeTypeバージョン2.13.0以降では修正されていましたが、多くのLinuxディストリビューションやAndroidデバイスでは古いバージョンが使用され続けていました。これは、オープンソースソフトウェアのセキュリティアップデートが実際のデバイスに反映されるまでのタイムラグの問題を浮き彫りにしています。
Metaのセキュリティチームが3月にこの脆弱性を公開した際、「限定的かつ標的型の攻撃」に使用されている可能性を指摘しました。これは、無差別な大規模攻撃ではなく、特定のターゲットを狙った高度な攻撃である可能性を示唆しています。国家支援型のハッカーグループ(APT)による活動の可能性も否定できません。
特に注目すべきは、この脆弱性がAndroid 13および14では修正されているものの、最新のAndroid 15では対応が遅れているという報告もあることです。Samsungなど一部のメーカーでは、Android 15(One UI 7)へのアップデート展開が始まったばかりであり、多くのユーザーがまだ脆弱性のあるバージョンを使用している可能性があります。
私たちinnovaTopiaの読者の皆さんには、お使いのAndroidデバイスを最新の状態に保つことを強くお勧めします。特に企業環境では、BYOD(個人所有デバイスの業務利用)ポリシーの見直しや、従業員への啓発活動も重要になるでしょう。
このケースは、現代のデジタル社会における「ソフトウェアサプライチェーン」の複雑さと脆弱性を示す好例と言えます。一つのオープンソースライブラリの脆弱性が、世界中の何十億ものデバイスに影響を及ぼす可能性があるのです。テクノロジーの進化とともに、こうしたセキュリティリスクへの対応も進化し続ける必要があります。
【用語解説】
FreeType:
オープンソースのフォントレンダリングライブラリ。様々なフォント形式(TrueType、OpenTypeなど)を処理し、テキストを画面に表示するための基盤技術である。Linux、Android、iOS、ChromeOSなど多くのOSで使用されている。
境界外書き込み(out-of-bounds write):
プログラムがメモリ上に確保した領域の外側に不正にデータを書き込む脆弱性。これによりシステムがクラッシュしたり、攻撃者が任意のコードを実行できるようになる可能性がある。
CVSSスコア:
Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を数値化した指標。0〜10の範囲で評価され、7.0以上は「高」、9.0以上は「致命的」とされる。今回の脆弱性は8.1と高い危険度を示している。
野生環境での悪用(in-the-wild exploitation):
セキュリティ業界で、実際の攻撃者によって現実世界で悪用されている脆弱性を指す表現。研究室環境での理論的な脆弱性ではなく、実際に攻撃に使われている状態を意味する。
整数オーバーフロー:
コンピュータプログラムで、計算結果が変数の最大値を超えたときに発生する現象。今回の場合、小さな値が大きな値に変換される際に問題が生じ、結果的にメモリ破壊につながった。
【参考リンク】
FreeType公式サイト(外部)
オープンソースのフォントレンダリングライブラリの公式サイト。ドキュメントやダウンロードが提供されている。
Google Android公式サイト(外部)
Googleが開発するモバイルOSの公式サイト。最新情報や機能紹介がある。
Meta公式サイト(外部)
Meta(旧Facebook)の公式サイト。企業情報やサービス紹介が掲載されている。
Android セキュリティ情報(外部)
Androidのセキュリティ情報が公開されている公式サイト。月次セキュリティアップデートの詳細が確認できる。
【参考動画】
【編集部後記】
みなさんのスマートフォンは最新の状態に保たれていますか? 今回のような脆弱性は、私たちが日常的に使うデバイスに潜んでいます。「設定」アプリからセキュリティアップデートを確認してみてはいかがでしょうか。また、家族や職場の方々にも、アップデートの重要性を伝えてみませんか? セキュリティは知識の共有から始まります。皆さんが実践している端末保護の工夫や、気になるセキュリティ情報があれば、ぜひSNSでシェアしていただけると嬉しいです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
