Googleは月3日(米国時間)、「Android Security Bulletin—March 20255  |  Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2025年3月のセキュリティ情報を公開した。

今回のアップデートには2025-03-01、2025-03-05の2つのセキュリティパッチレベルの情報が含まれており、すでに悪用されている2件の脆弱性および10件の緊急の脆弱性を含む合計43件の脆弱性の情報が公表されている。

  • Android Security Bulletin—March 20255  |  Android Open Source Project

    Android Security Bulletin—March 20255  |  Android Open Source Project

脆弱性の情報

Androidのセキュリティパッチレベルとは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みかどうかを確認できる。

今回公開されたパッチレベル2025-03-01には30件の脆弱性が、パッチレベル2025-03-05には13件の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性(CVE)は次のとおり。

  • CVE-2025-0074、CVE-2025-0075、CVE-2025-0084、CVE-2025-22403、CVE-2025-22408、CVE-2025-22410、CVE-2025-22411、CVE-2025-22412 - システムコンポーネントに解放後使用(UAF: use-after-free)の脆弱性。悪用されるとリモートコード実行(RCE: Remote Code Execution)につながる可能性がある
  • CVE-2025-22409 - システムコンポーネントに解放後使用(UAF: use-after-free)の脆弱性。悪用されると権限を昇格される可能性がある
  • CVE-2025-0081 - システムコンポーネントにNULLポインター参照の脆弱性。悪用されるとサービス運用妨害(DoS: Denial of Service)につながる可能性がある

限定的な標的型攻撃に悪用された可能性があると指摘された脆弱性は次のとおり。

  • CVE-2024-43093 - フレームワークコンポーネントにパストラバーサルの脆弱性。攻撃者は権限を昇格できる可能性がある(CVSSスコア: 7.8)
  • CVE-2024-50302 - Linuxカーネルに初期化されていないリソース使用の脆弱性。攻撃者はカーネルメモリーを不正に窃取できる可能性がある(CVSSスコア: 7.8)

CVE-2024-50302はイスラエルのフォレンジック企業「Cellebrite」が開発したAndroid攻撃チェーンの一部として悪用されたとの報告がある。この攻撃手法は学生活動家から押収したデバイスのロック解除にセルビア当局が使用したとされる(参考:「Serbian police used Cellebrite zero-day hack to unlock Android phones」)。

対策

使用しているAndroidデバイスをパッチレベル2025-03-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 12、12L、13、14、15で利用可能になっている。Android 11以前のデバイスはサポートを終了しているため、古いデバイスのユーザーにはできるだけ速やかに、新しいAndroidデバイスに乗り換えることが推奨される。