Googleは2025年9月のAndroidセキュリティ速報で111の脆弱性にパッチを適用した。このうち2つが悪用された兆候がある。
8月は6件、7月は0件だったため、今月の111件は大幅な増加となる。9月のアップデートはAndroid 13、14、15、16で利用可能だ。パッチレベルが2025-09-05以降のデバイスでは問題が修正済みとなる。
Googleは2つの脆弱性について限定的で標的型の悪用の兆候があると発表した。CVE-2025-38352はLinuxカーネルの時間サブシステムにおける競合状態の脆弱性で、ローカル攻撃者による権限昇格を可能にする。
CVE-2025-48543はAndroidランタイムの脆弱性で、追加の実行権限やユーザー操作なしにローカルでの権限昇格につながる可能性がある。CVE-2025-48539はSystemコンポーネントのクリティカルな脆弱性で、リモート(近接/隣接)でのコード実行を可能にし、ワーム化による拡散の懸念がある。
From: 
Update your Android! Google patches 111 vulnerabilities, 2 are critical
【編集部解説】
Malwarebytesの記事では「111の脆弱性」と記載されていましたが、これは正確にはQualcommコンポーネント分も含んだ総数です。AndroidのコアOSとして修正されたのは84の脆弱性で、Qualcomm製品固有の27の問題を加えて111件となっています。
今回のセキュリティアップデートが異例の規模である理由は、単純な数の多さだけではありません。7月0件、8月6件から一気に111件という急激な増加は、これまでにない重大な脆弱性が集中的に発見されたことを示しています。
特に注目すべきは、CVE-2025-38352とCVE-2025-48543の2つの脆弱性が、すでに「限定的で標的型の攻撃」で悪用されているという事実です。Google Threat Analysis Group(TAG)のBenoît Sevens氏が発見に関わったことから、これらは高度な標的型攻撃、特にスパイウェアキャンペーンで使用されている可能性が高いと推測されます。
CVE-2025-48539については、「ワーム化可能」という懸念が専門家から指摘されています。これはBluetooth、NFC、Wi-Fi Directといった近距離通信経由でデバイス間に感染が拡がる可能性を意味します。コンサートや会議といった人が密集する環境では、まさに山火事のように感染が広がるリスクがあります。
このような脆弱性は、IoT時代における新たなセキュリティリスクの象徴でもあります。従来のマルウェアが主にインターネット経由で拡散していたのに対し、物理的な近接性を利用した攻撃手法は、セキュリティ対策の在り方を根本的に見直す必要性を提起しています。
innovaTopiaの読者のみなさんにとって重要なのは、これらの脆弱性がテクノロジーの未来を阻害する要因ではなく、むしろセキュリティ技術の進歩を促進する触媒として機能している点です。Googleの迅速な対応とパートナー企業との連携は、分散型エコシステムにおけるセキュリティガバナンスの新しいモデルを示しています。
【用語解説】
Android Runtime – Android上でアプリを実行するシステムで、JavaやKotlinのコードを機械語に変換する役割を持つ。
Linuxカーネル – Androidの基盤となるOSの中核部分であり、ハードウェアとソフトウェアの橋渡しを行う。
競合状態 – 複数のプロセスが同じ資源に同時にアクセスし、同期がとれていない状態で起こるバグ。
権限昇格 – 本来の権限以上の操作が可能になること。攻撃者はこれを狙う。
リモートコード実行(RCE) – 離れた場所から悪意のあるコードを実行できる脆弱性。
ワーム化可能 – 自己増殖し他のデバイスに感染を広げられる性質を持つこと。
Bluetooth – 近距離無線通信技術。多くのモバイル機器で広く使用されている。
NFC – 近距離無線通信技術で、決済やデータ交換に使われる。
Wi-Fi Direct – Wi-Fi機能を使って機器同士が直接通信できる技術。
Google Play Protect – Googleが提供するAndroidのマルウェア検知と防御機能。デフォルトで有効。
【参考リンク】
Android Security Bulletin—September 2025(外部)
Googleによる2025年9月のAndroidセキュリティ速報。詳細な脆弱性情報とパッチレベル考慮を掲載。
Bleeping Computer(外部)
英語のITセキュリティサイト。今回の脆弱性とパッチに関する詳細記事を掲載。
Google Android公式(外部)
GoogleのAndroid公式ページ。Androidに関する最新情報やサポートを提供。
Qualcomm公式(外部)
スマートフォン向けチップセットを製造する米国企業。Android端末に広く採用されている。
【参考記事】
Android Security Bulletin—September 2025(外部)
Googleが公表した2025年9月のAndroidセキュリティ速報。111件の脆弱性のうち、複数がCriticalレベル。
Google fixes actively exploited Android flaws(外部)
Googleが84件の脆弱性を修正し、ゼロデイ攻撃で悪用されていた2件が含まれる。Qualcomm固有問題も修正。
Android Security Alert: Google Patches 120 Flaws(外部)
9月のアップデートはAndroid 13から16に及び、Systemコンポーネントのリモートコード実行脆弱性を修正。
【編集部後記】
今回のAndroidセキュリティパッチの規模と内容を見ると、私たちが普段何気なく使っているスマートフォンが、いかに複雑で脆弱性と隣り合わせの存在であるかを改めて感じます。特に、近距離通信を悪用した「ワーム化可能」な脆弱性は、私たちの日常生活における新たなセキュリティリスクを浮き彫りにしています。
皆さんは、コンサートや会議などの人が密集する場所で、自分のデバイスが知らないうちに感染源になったり、逆に感染の被害者になったりする可能性について考えたことはありますか?このような状況下で、個人レベルでできる対策や、企業や社会全体で取り組むべき課題について、ぜひご意見をお聞かせください。
