既報の通り、グーグルは「危険な12月」(Dangerous December)」の幕開けとして、「12月の月例アップデート」においてAndroidが現在攻撃を受けていると警告した。「CVE-2025-48633」と「CVE-2025-48572」の2件のゼロデイ脆弱性が悪用されている兆候があるというものだ。高度に標的を絞ったスパイウェアとして始まったものが、攻撃対象領域を急速に拡大している。そしてグーグルは、防御が一部の端末でしか利用できないことも確認しており、10億人のユーザーが危険にさらされている。
グーグルが「CVE-2025-48633」と「CVE-2025-48572」について、「限定的で標的型の悪用が行われている可能性を示す兆候がある」と警告したことで、セキュリティ脅威に揺れる波乱の1か月が始まった。グーグルはすぐにChromeへの攻撃に関する警告も追加し、その後アップルが、アップルのユーザーもこの傭兵型スパイウェアの攻撃を受けているとする厳しい警告を発した。
グーグルは両脆弱性について修正を提供し、さらに(少なくとも現時点で把握している限り)まだ積極的な悪用が確認されていない数十件の脆弱性についても修正を提供した。だが、それらの修正はサムスンを含む他のAndroid端末メーカー(OEM)にも迅速に共有されたものの、「12月の月例アップデート」の「更新対象のAOSPバージョン」によると利用できるのはAndroid 13、14、15、16に限られる(編注:ある端末・OSを何年間サポート対象とするか、また旧OSにバックポートするかなど、端末メーカーのサポート方針によって状況は異なる)。
あくまでStatCounter上の数値となるが、Android端末の30%以上はいまだにサポート対象外のAndroid 12以前で動作している(編注:Googleのサーバー由来データとして掲示される「Composable」のAndroidバージョン分布では、Android 12のみの場合約11.4%。Android 12以前を合算すると約42.1%に上る)。これだけでも十分に問題だ。だがOEMは修正を展開するのに時間がかかり、その間、サポート対象の端末でさえ危険にさらされる。さらに、多くのユーザーは更新が提供されても適用が遅れがちだ。 2025年5月、グーグルは「190か国以上で30億台以上のアクティブなデバイス」が存在する旨を明らかにしており、単純計算ではこのうちの30%、約10億人のユーザーの端末がサポート対象外として修正されないことになる。
モバイルセキュリティ専門企業Zimperiumは、「1年のどの時点でも、モバイル端末の50%以上が古いOSバージョンを実行しており、そのうち相当数が侵害または感染している」と警告する。攻撃が急増する中、Androidにとってこれは好ましい状況ではない。
状況はiPhoneのほうが良い。アップルが、あらゆる場所の全ユーザーに対し、一斉にアップデートを配信できるという、はるかにシンプルなエコシステムだからだ。現行のiPhoneの約90%(1、2)が、OSのサポート対象バージョンで動作していると考えられている。
端末がサポート対象から外れているなら、今や危険にさらされている。BeyondTrustのジェームズ・モードは筆者にこう語った。「これは少数の標的型攻撃にしか結び付いていないように見えるとしても、さまざまな脅威アクター(攻撃者や攻撃組織)にとって、すぐに「必携」の攻撃手段になるでしょう」。
