Googleは3月3日(米国時間)、「Android Security Bulletin—March 2026  |  Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2026年3月のセキュリティ情報を公開した。

今回のアップデートには2026-03-01、2026-03-05の2つのセキュリティパッチレベルの情報が含まれており、悪用された可能性のある1件の脆弱性および10件の緊急(Critical)の脆弱性を含む合計116件の脆弱性の情報が公表されている。

  • Android Security Bulletin—March 2026 | Android Open Source Project

    Android Security Bulletin—March 2026 | Android Open Source Project

脆弱性の情報

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みかを確認できる。

今回公開されたパッチレベル2026-03-01には51件の脆弱性が、パッチレベル2026-03-05には65件の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性(CVE)は次のとおり。

  • CVE-2026-0047 - Frameworkコンポーネントに不十分な権限確認の脆弱性。ローカルの攻撃者は特権昇格の可能性がある(CVSSスコア:8.4)
  • CVE-2026-0006 - Systemコンポーネントにヒープバッファオーバーフローの脆弱性。認証されていない状態で、遠隔からリモートコード実行(RCE: Remote Code Execution)が行える可能性がある(CVSSスコア:9.8)
  • CVE-2025-48631 - Systemコンポーネントにリソース枯渇の脆弱性。認証されていない状態で、遠隔から持続的なサービス運用妨害(DoS: Denial of Service)を実行できる可能性がある(CVSSスコア:6.5)
  • CVE-2024-43859 - LinuxカーネルにNULLポインタ参照の脆弱性。攻撃者は権限を昇格できる可能性がある(CVSSスコア:5.5)
  • CVE-2026-0037CVE-2026-0030 - カーネルコンポーネントに境界外書き込みの脆弱性。ローカルで特権昇格を行われる可能性がある(CVSSスコア:8.4)
  • CVE-2026-0038 - カーネルコンポーネントに論理エラーの脆弱性。ローカルで特権昇格を行われる可能性がある(CVSSスコア:8.4)
  • CVE-2026-0027 - カーネルコンポーネントに解放後使用(UAF: use-after-free)の脆弱性。システム実行権限を持つユーザーがローカルで特権昇格を行える可能性がある(CVSSスコア:6.7)
  • CVE-2026-0028CVE-2026-0031 - カーネルコンポーネントに整数オーバーフローの脆弱性。ローカルで特権昇格を行える可能性がある(CVSSスコア:8.4)

限定的な標的型攻撃に悪用された可能性があると指摘された脆弱性は次のとおり。

  • CVE-2026-21385 - Qualcommコンポーネントに整数オーバーフローの脆弱性。アライメント使用時におけるメモリ割り当てにおいて、メモリを破損する可能性がある。(CVSSスコア:7.8)

対策

使用しているAndroidデバイスをパッチレベル2026-03-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 14、15、16、16-qpr2で利用可能になっている。Android 13以前のデバイスはサポートを終了しているため、古いデバイスのユーザーはできるだけ速やかに、新しいAndroidデバイスに乗り換えることが推奨される。