Last Updated on 2025-06-04 09:34 by admin
Qualcommは2025年6月2日、Adreno GPU(Graphics Processing Unit)ドライバーに存在する3つのゼロデイ脆弱性を修正したと発表した。
これらの脆弱性は、実際に標的型攻撃で悪用されていることがGoogle Threat Analysis Groupにより確認されている。CVE-2025-21479とCVE-2025-21480はグラフィックスコンポーネントの認可不備によるメモリ破損、CVE-2025-27038はChrome上でのuse-after-freeによるメモリ破損を引き起こす。
最初の2つはグラフィックスコンポーネントの不正認証脆弱性で、特定のコマンドシーケンス実行中にGPUマイクロコードでの不正コマンド実行によりメモリ破損を引き起こす。3つ目はChromeでAdreno GPUドライバーを使用したグラフィックスレンダリング中にメモリ破損を引き起こすuse-after-free脆弱性である。
Google Android SecurityチームがQualcommに責任開示した。Google Threat Analysis Groupからの情報により、これらの脆弱性が限定的で標的型の悪用を受けている可能性がある。パッチは2025年5月にOEMに提供され、影響を受けるデバイスへの迅速な展開が強く推奨されている。
From: 
Qualcomm Fixes 3 Zero-Days Used in Targeted Android Attacks via Adreno GPU
【編集部解説】
今回のQualcommのゼロデイ脆弱性修正は、モバイルセキュリティ業界において極めて重要な意味を持つ事案です。複数の信頼できる情報源を確認した結果、脆弱性の報告時期について新たな詳細が判明しました。CVE-2025-21479とCVE-2025-21480は2025年1月下旬に、CVE-2025-27038は3月に報告されており、発見から修正まで数ヶ月を要していることが分かります。
技術的な背景と影響範囲
Adreno GPUは、QualcommのSnapdragonチップセットに搭載されているグラフィックス処理ユニットで、Samsung、Google、Xiaomi、OnePlusなど世界中の数十億台のAndroidデバイスで使用されています。今回発見された脆弱性は、GPUマイクロコードレベルでの不正なコマンド実行を可能にするもので、従来のアプリケーションレイヤーでのセキュリティ対策では防御が困難な低レベル攻撃を可能にします。
特にCVE-2025-27038がChromeブラウザ経由で悪用可能という点は、ユーザーが悪意のあるWebサイトにアクセスするだけで攻撃が成立する可能性を示唆しています。これは従来のマルウェアインストールを必要とする攻撃手法と比較して、格段に攻撃の敷居を下げる要因となります。
商用スパイウェアとの関連性
「限定的で標的型の悪用」という表現は、国家レベルの攻撃者や商用スパイウェア業者による関与を強く示唆しています。過去の事例を見ると、VaristonやCy4Gateといった商用スパイウェア企業がQualcommの脆弱性を武器化した実績があり、今回も同様のパターンが予想されます。
2024年10月に修正されたCVE-2024-43047では、セルビア当局がCellebriteのデータ抽出ソフトウェアを使用してジャーナリストや活動家のデバイスにNoviSpyスパイウェアを展開した事件が発覚しており、今回の脆弱性も同様の用途で悪用される可能性があります。
OEMとパッチ配布の課題
Qualcommが5月にOEMにパッチを提供したにも関わらず、6月になってから公表されたという時系列は、Androidエコシステムの構造的な問題を露呈しています。チップメーカー、OEM、キャリア、そして最終的にユーザーに至るまでの複層的な配布プロセスは、セキュリティパッチの迅速な展開を困難にする要因となっています。
この問題は特に、サポート期間が短い低価格帯デバイスや、既にサポートが終了した古いデバイスにおいて深刻です。結果として、脆弱性が公表された後も長期間にわたって攻撃に晒される「パッチギャップ」が生じる可能性があります。
長期的な業界への影響
今回の事案は、モバイルセキュリティにおけるハードウェアレベルでの脆弱性対策の重要性を改めて示しています。将来的には、チップ設計段階でのセキュリティ検証プロセスの強化や、ハードウェアベースのセキュリティ機能の拡充が求められるでしょう。
また、商用スパイウェア市場の拡大に対する規制強化の議論も加速する可能性があります。EUのスパイウェア規制やアメリカの輸出管理強化など、既に始まっている規制の動きが、今回のような事案を受けてさらに厳格化される可能性が高いと考えられます。
【用語解説】
Adreno GPU
Qualcommが開発したスマートフォンやタブレット向けのグラフィックス処理ユニット。元々はATI Technologiesが開発したImageonブランドを起源とし、2008年にQualcommが買収した。現在、世界中の数十億台のAndroidデバイスに搭載されている。
ゼロデイ脆弱性
ソフトウェアやハードウェアに存在する未知の脆弱性で、開発者が修正パッチを提供する前に攻撃者によって悪用される脆弱性。「ゼロデイ」は脆弱性が発見されてから修正されるまでの期間が「ゼロ日」であることを意味する。
Use-After-Free(UAF)
プログラムがメモリ管理に失敗し、すでに解放されたメモリ領域にアクセスを試みる脆弱性。攻撃者が解放されたメモリ領域に悪意のあるデータを挿入し、任意コードの実行や情報漏洩を引き起こす可能性がある。
CVSSスコア
Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を0.0から10.0の数値で評価する国際標準。7.0-8.9が「高」、9.0-10.0が「緊急」とされる。
OEM(Original Equipment Manufacturer)
相手先ブランド製造会社。この文脈では、Qualcommのチップセットをスマートフォンやタブレットに組み込んで製品化するSamsung、Google、Xiaomi、OnePlusなどのメーカーを指す。
NoviSpy
セルビア保安情報局(BIA)が開発したAndroid向けスパイウェア。物理的にデバイスにアクセスしてインストールされ、通話記録、連絡先、位置情報、スクリーンショット撮影、マイク・カメラの遠隔操作が可能。
【参考リンク】
Google Threat Analysis Group(TAG)(外部)
Googleが運営するセキュリティ専門チーム。世界中の政府が後ろ盾となっている高度なサイバー攻撃を特定・追跡し、企業や個人ユーザーを国家レベルの攻撃から守る。
Qualcomm公式サイト(外部)
アメリカの半導体企業で、モバイル通信技術のリーディングカンパニー。Snapdragonチップセットやモデム技術で知られ、世界中のスマートフォンに技術を提供。
CY4GATE公式サイト(外部)
イタリアのサイバーセキュリティ・インテリジェンス企業。サイバーインテリジェンス、フォレンジック技術、意思決定支援システムを提供。
Amnesty International(外部)
国際的な人権擁護団体。デジタル監視やスパイウェアの脅威から市民社会を保護するセキュリティラボを運営し、政府による不正な監視活動の調査・告発を行う。
Qualcomm Security Bulletins(外部)
Qualcommが発行する公式セキュリティ情報。チップセットの脆弱性情報、修正パッチの詳細、影響を受ける製品リストなどを定期的に公開。
【参考動画】
【参考記事】
Qualcomm fixes three Adreno GPU zero-days exploited in attacks(外部)
今回の脆弱性について技術的詳細と影響範囲を詳しく解説。脆弱性の報告時期や過去のQualcomm脆弱性事例との関連性についても言及。
Silent Spying: How Serbian Intelligence Hacks Activists’ Phones(外部)
セルビア当局によるNoviSpyスパイウェアの使用実態を詳細に調査したレポート。Cellebriteツールとの組み合わせによる監視手法を具体的に解説。
Qualcomm Flags Exploitation of Adreno GPU Flaws, Urges OEMs to Patch Urgently(外部)
商用スパイウェア製品との関連性について詳しく分析。「限定的で標的型の悪用」という表現の背景にある脅威の性質を解説。
【編集部後記】
今回のQualcommの脆弱性修正は、私たちが日常的に使用しているスマートフォンのセキュリティがいかに複雑で多層的な問題であるかを浮き彫りにしています。皆さんのお手持ちのAndroidデバイスは最新のセキュリティパッチが適用されているでしょうか?
また、企業でBYOD(個人デバイスの業務利用)を導入されている方は、どのようなセキュリティ対策を講じていらっしゃいますか?ハードウェアレベルでの脆弱性という今回の事案を踏まえ、モバイルセキュリティについて改めて考える機会にしていただければと思います。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
