Androidが攻撃にさらされている。既報の通り、グーグルは米国時間12月1日付で警告を発し、事実上の緊急アップデートといえる「12月の月例アップデート」を配信した。このアップデートは、すべてのPixelユーザーに対して慌ただしく提供された。しかし、攻撃がすでに進行しているにもかかわらず、サムスンのGalaxyユーザーの大半には、こうした修正がまだ届いていない。
グーグルは、CVE-2025-48633およびCVE-2025-48572について、「限定的かつ標的を絞った形で悪用されている可能性がある」と確認している。これらの攻撃は、「追加の実行権限を必要とせず」に、標的となるスマートフォンに対して「リモートからのサービス拒否(DoS)攻撃」を実現し得るものだとされる。
サムスンは、グーグルの警告から数時間以内に、自社による修正を用意していることを認めた。また、世界中のユーザーが依存しているハードウェアおよびソフトウェアシステムに存在するゼロデイを研究するグーグルのProject Zeroによって開示された、別の3件の脆弱性についても修正を行った。
グーグルがAndroidへの攻撃を確認してからわずか24時間後、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)は独自の警告を発出し、連邦政府職員に対し、端末をアップデートするか、使用を中止することを義務づけた。CISAは既知の悪用済み脆弱性サイト上で、「Androidのフレームワークには、権限昇格を可能にする未特定の脆弱性が含まれている」と説明している。
「Androidの王」サムスンGalaxy
しかし、ゼロデイ攻撃が公開されるたびに、いつものようにAndroidにおけるこの「断絶」が浮き彫りになる。Android Authorityは週末、「サムスンはAndroidの王だ」と評した。「Android端末メーカーの中で同社の世界シェアは30%を超える。言い換えれば、Androidスマートフォンを購入する人のほぼ3人に1人がサムスンを選ぶということだ」。
本来、優先されるべきなのは、市場シェアの小さいPixelではなくサムスンであるはずだ。だが、そうはならない。サムスンには、重大な修正をユーザー基盤に展開するのに今もなお丸1カ月を要するアップデートサイクルを改める責任がある。そして、Galaxy S25および、なぜか選ばれた1機種の中価格帯端末を除くほぼすべての端末で、シームレスアップデートが導入されていないことについても責任を負っている。
しかし現実には、サムスン(や他のAndroid端末メーカー)は、ハードウェアとソフトウェアの両方を一体的に掌握しているというグーグル特有の立場には太刀打ちできない。グーグルのスマートフォンは常に最優先される。新しいOSバージョンも、新機能のリリースも、セキュリティアップデートも、まずはPixelから提供される。One UI 7とOne UI 8(それぞれAndroid 15と16に相当)の提供が大きく遅れ、多くのユーザーを苛立たせたのも、そのためである。
