Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)

セキュリティニュース

投稿日時: 更新日時:

Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)

Googleは2025年12月1日付で「Android Security Bulletin 2025-12」を公開し、Android OSおよび各種ハードウェアコンポーネントに影響する多数の脆弱性を公表しました。
今回の更新では、

  • リモートから端末をフリーズさせる可能性のある重大なDoS(サービス拒否)脆弱性

  • すでに限定的な標的型攻撃で悪用されている可能性があるゼロデイ脆弱性2件

  • カーネル(pKVM / IOMMU)やQualcomm・MediaTek・Unisoc・GPUドライバなどハードウェア依存の深刻な脆弱性

が含まれており、早期のアップデート適用が強く推奨されています。

フレームワークの重大DoS脆弱性:CVE-2025-48631

今回の公開情報の中で、最も重大度が高いとされているのが、FrameworkコンポーネントのDoS脆弱性「CVE-2025-48631」です。

  • 種別:DoS(サービス拒否)

  • 重大度:重大(Critical)

  • 影響バージョン:Android 13 / 14 / 15 / 16

Googleはこの脆弱性について、

「追加の実行権限がなくてもリモートでサービス拒否攻撃を実行できる」

と説明しており、ユーザーの操作や追加権限なしで、遠隔から端末をクラッシュさせたり応答不能にさせる攻撃が成立し得ることを意味します。

一般的なDoS攻撃は「動作を止める」「再起動を繰り返させる」といった影響にとどまりますが、端末が業務用途や決済・認証などに利用されている場合、可用性の低下が直接的な業務影響につながるリスクがあります。

すでに悪用されている可能性のあるゼロデイ2件

今回のセキュリティ情報の中でGoogleは、

「以下の脆弱性について、限定的な標的型攻撃で悪用されている可能性を示す兆候がある」

と明記しており、ゼロデイに相当する2件の脆弱性について特に注意喚起しています。

CVE-2025-48633(情報漏えい:Framework)

  • 種別:ID(Information Disclosure:情報開示)

  • 重大度:高(High)

  • 対象:Android 13 / 14 / 15 / 16

Framework内の情報開示脆弱性であり、攻撃に悪用された場合、本来アクセスできない内部情報が漏えいする可能性があります。
単体でも問題ですが、他の権限昇格やRCE(リモートコード実行)脆弱性と組み合わされることで、攻撃チェーンの「最初の一手」として使われるケースが想定されます。

CVE-2025-48572(権限昇格:Framework)

  • 種別:EoP(Elevation of Privilege:権限昇格)

  • 重大度:高(High)

  • 対象:Android 13 / 14 / 15 / 16

こちらはFrameworkの権限昇格脆弱性で、悪用されると本来より高い権限で動作できてしまう可能性があります。
情報漏えい(ID)+権限昇格(EoP)は、ゼロデイ攻撃としては典型的な組み合わせであり、

  • まず内部情報を取得し

  • その情報を足がかりに権限を奪う

という流れの一部として利用されることが多いパターンです。

Google自身が「標的型攻撃の悪用の兆候がある」と公表しているため、特に企業・組織でAndroid端末を業務利用している場合は、早期のパッチ適用が極めて重要です。

Framework / Systemにおけるその他多数の高リスク脆弱性

Android 13〜16に広く影響するFramework / Systemコンポーネントの高リスク脆弱性も多数修正されています。

Framework側の主な修正例

  • 多数のEoP(権限昇格)

    • 例:CVE-2025-48525, 48564, 48565, 48573, 48580, 48601, 48615 など

  • 複数の情報開示(ID)

    • 例:CVE-2025-48591, 48592, 48628 など

  • DoS(サービス拒否)

    • 例:CVE-2025-48576, 48590, 48603, 48614 など

これらは組み合わせて利用されることで、

  • 一般アプリからの権限昇格

  • 内部情報の窃取

  • 端末の安定性低下・強制クラッシュ

といった攻撃シナリオを構成し得るため、まとめて修正される今回のアップデートでの対応が前提になっています。

Systemコンポーネントの脆弱性

System側でも、主にローカル権限昇格(EoP)や情報開示(ID)の高リスク脆弱性が複数修正されています。

  • EoPの例:

    • CVE-2023-40130, CVE-2025-22432, 48536, 48566, 48575, 48612 ほか

  • 情報開示(ID)の例:

    • CVE-2025-48555, 48604, 48622 など

SystemコンポーネントはOSの根幹に関わるため、ここでの権限昇格はOS全体の防御を迂回する結果につながる可能性があります。

カーネル(pKVM / IOMMU)の重大な権限昇格

セキュリティパッチレベル2025-12-05 では、Linuxカーネル関連の重要な脆弱性も修正されています。
特に注目されるのが、Protected KVM(pKVM)とIOMMUに関する「重大(Critical)」な権限昇格(EoP)脆弱性です。

  • CVE-2025-48623(pKVM / EoP / 重大)

  • CVE-2025-48624(IOMMU / EoP / 重大)

  • CVE-2025-48637(pKVM / EoP / 重大)

  • CVE-2025-48638(pKVM / EoP / 重大)

pKVMは、本来は敏感なデータやコードを隔離するための仮想化セキュリティ機構ですが、ここが破られると

  • OSと分離されているはずの領域へのアクセス

  • より高い特権レベルでのコード実行

といった形で、OSの根本的な安全境界(サンドボックス)が崩壊する可能性があります。

IOMMUはデバイスがメモリへ直接アクセスする際の制御を担っており、ここに脆弱性があると、

  • 本来アクセスできないメモリ領域への不正アクセス

  • DMAを悪用した高度な攻撃

が成立し得ます。
いずれも、「ローカルの権限昇格で済まない、本質的なセキュリティ境界の突破」につながるリスクを持つため、カーネル更新を含む2025-12-05パッチレベルが重要になります。

ベンダー固有コンポーネント:Qualcomm / MediaTek / Unisoc / GPUドライバ

12月の公開情報では、SoCベンダー各社のコンポーネントに対する脆弱性も多数修正されています。
これらは端末のハードウェア構成によって影響範囲が変わりますが、対象機種では深刻なリスクになり得ます。

Qualcomm(クローズドソース含む)

  • 重大(Critical)

    • CVE-2025-47319, CVE-2025-47372(クローズドソースコンポーネント)

  • 高(High):

    • カーネルやブートローダに関する複数の脆弱性(例:CVE-2025-47351, 47354, 47382 など)

ベースバンドや各種サブシステムに関わる脆弱性は、リモートからの攻撃や端末完全乗っ取りの一部として利用されるケースもあり、SoC依存とはいえ軽視できません。

MediaTek

  • 主にモデムおよびIMSサービスに関連する高リスク脆弱性が多数(約20件)

セルラーネットワークに関連するコンポーネントの脆弱性は、通信経路やSIMまわりの攻撃につながる懸念があり、特にキャリア版端末やIoT用途の端末では注意が必要です。

Unisoc

  • ほぼすべてがモデムコンポーネントに対する高リスクの脆弱性

Unisocチップ搭載端末は主にエントリー〜ミドルレンジ向けに多く採用されており、セキュリティアップデートの配信有無が機種によってばらつく傾向があるため、ユーザー側の確認がより重要になります。

GPUドライバ(Arm Mali / Imagination PowerVR)

  • Arm Mali GPU:高リスク脆弱性(例:CVE-2025-6349, 2025-8045)

  • Imagination PowerVR GPU:高リスク脆弱性が複数(CVE-2025-6573, 25177, 46711, 58410など)

GPUドライバはカーネル空間や特権的なコンテキストで動作することが多く、ここでの脆弱性は

  • サンドボックス突破

  • カーネル権限奪取

といった攻撃に悪用される可能性があります。

Googleによるリスク軽減策とPlay Protect

Googleは公式情報の中で、AndroidおよびGoogleサービスによるリスク軽減策についても改めて説明しています。

  • 最新のAndroidバージョンに更新することで、脆弱性の悪用難度は高まる

  • Google Play プロテクトは、潜在的に有害なアプリを検出・ブロックし、ユーザーに警告する役割を果たしている

    • 特に、Playストア以外(サイドロードやサードパーティストア)からアプリを入れるユーザーにとって重要な防御線

とはいえ、今回のようなOSやカーネル、ドライバの脆弱性そのものは、基本的には「セキュリティパッチの適用」でしか根本対策ができないため、Play Protectは補助的な役割と考える必要があります。