Google、2026年6月のアップデートでAndroidの脆弱性124件を修正

Googleは2026年6月のAndroidセキュリティ速報を公開し、OS全体で124件の脆弱性に対処しました。その中には、Android Frameworkにおける深刻度「高」の権限昇格の脆弱性CVE-2025-48595が含まれており、標的型攻撃で悪用が確認されています。CVE識別子には2025年の日付が付けられていますが、これは脆弱性が最初に登録・割り当てられた時期を反映しており、パッチ自体はGoogleの2026年6月の月例アップデートサイクルの一環として提供されます。脆弱性の発見から公開パッチ提供までのこのようなタイムラグはソフトウェアセキュリティではよくあることであり、タイムリーなアップデートが重要である理由を浮き彫りにしています。

権限昇格の脆弱性は特に深刻です。なぜなら、すでにデバイスに足場を築いた攻撃者が、悪意のあるアプリやフィッシングリンクなどを通じて、より高いシステムレベルのアクセス権を取得できるようになるからです。その昇格したアクセス権は、他のアプリのデータの読み取り、ネットワークトラフィックの傍受、セキュリティ制御の完全な無効化などに悪用される可能性があります。

プライバシーを重視するユーザーにとってこの脆弱性が特に危険な理由

プライバシーに関わる活動をAndroidに依存している人、特にトラフィックを暗号化するためにVPNアプリを利用しているユーザーにとって、CVE-2025-48595のような権限昇格の脆弱性は、単なる定期的なパッチ通知以上の意味を持ちます。システムレベルで侵害されたデバイスは、アプリケーション層で動作する保護機能を無効にしてしまう可能性があります。具体的に言えば、VPNアプリがどれほど優れた設計であっても、攻撃者が昇格した権限を取得したデバイス上で動作している場合、そのトラフィックが傍受されたり、キルスイッチがバイパスされたり、認証情報が漏洩したりする恐れがあります。

これは重要な違いです。VPNはデバイスとリモートサーバー間の転送中のデータを保護しますが、デバイス内部にすでに存在する脅威からは保護しません。そのため、モバイルプライバシーのセキュリティモデルでは、信頼性の高いVPNと完全にパッチが適用されたOSの両方が連携して機能する必要があります。ノーログアーキテクチャと暗号化トンネリングを重視するSurfsharkのようなサービスを利用している場合、それらの保護機能は、基盤となるデバイスのセキュリティに依存しています。

セキュリティ意識の高いユーザーの中には、アンチウイルスや脅威検出機能を含むVPNバンドルに依存している人もいます。Avast VPNのような製品は、ネットワーク暗号化と幅広いデバイスセキュリティ監視を組み合わせていますが、そうしたツールでさえ、正常に機能するためにはデバイスのOSの整合性に依存しています。システムレベルでの権限昇格エクスプロイトは、そうした保護機能の下層に位置します。

2026年6月のAndroidセキュリティパッチの適用方法

ほとんどのAndroidユーザーにとって、このアップデートの適用は簡単なプロセスであるはずですが、その時期はデバイスのメーカーによって異なります。

Pixelデバイスの場合、アップデートは現在、設定→システム→システムアップデートの標準システムアップデートメニューから入手可能です。Google自社製ハードウェアは通常、速報の公開と同日にパッチを受け取ります。

Samsung、OnePlus、Motorolaなどの他メーカーのデバイスでは、パッチは各社独自のアップデートスケジュールを通じて配信されます。多くのフラッグシップデバイスはGoogleのリリースから数週間以内にこれらのパッチを受け取りますが、旧型またはミッドレンジのデバイスでは遅延が長くなる可能性があり、メーカーのサポート期間外のデバイスではパッチがまったく提供されないこともあります。

現在のパッチレベルを確認するには、「設定」→「デバイス情報」→「Androidセキュリティパッチレベル」の順に進みます。表示されている日付が2026年6月よりも古い場合、利用可能なアップデートを確認することが次の正しいステップです。

あなたにとっての意味

CVE-2025-48595が積極的に悪用されているという確認は、これが理論上のリスクではないことを意味します。実際の攻撃者が、まさに今、実際のデバイスに対してこの脆弱性を利用しています。標的の範囲(一般ユーザーなのか、特定の価値の高い個人なのか)は完全には公開されていませんが、パッチの適用を待つことは不必要なリスクをもたらします。

今すぐ実行すべき実践的な手順は次のとおりです。

  • お使いのAndroidセキュリティパッチレベルを確認し、可能であれば2026年6月のアップデートをすぐにインストールしてください。
  • 自動アップデートを有効にして、今後のパッチが手動で介入しなくても適用されるようにしてください。
  • デバイス上のアプリの権限、特に最近インストールしたアプリの権限を確認してください。 権限昇格攻撃には、多くの場合悪意のあるアプリや侵害されたアプリを通じた何らかの初期アクセスが必要です。
  • 信頼できるVPNをモバイルデバイスで使用して、 転送中のトラフィックを暗号化してください。ただし、これは防御の1つの層であり、OSレベルのセキュリティを完全に代替するものではないことを理解してください。
  • デバイスのサポート状況を検討してください。 お使いのスマートフォンがメーカーからセキュリティアップデートを受け取らなくなった場合、既知のエクスプロイトに対して事実上無防備です。サポート対象のデバイスへのアップグレードを真剣に検討する価値があります。

Googleの2026年6月のAndroidセキュリティアップデートは、対処された脆弱性の総数という点で、同社が今年リリースした中で最大規模のものの1つです。迅速なパッチ適用、異なるセキュリティ層がどのように相互作用するかを理解すること、そして単一のツールで保護できる範囲について現実的な期待を持つことが、健全なモバイルセキュリティの実践の基盤です。