Googleは4月6日(米国時間)、「Android Security Bulletin—April 2026 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2026年4月のセキュリティ情報を公開した。

  • 操作なしで攻撃の可能性 Androidユーザーは今すぐアップデートを Photo:PIXTA

    操作なしで攻撃の可能性 Androidユーザーは今すぐアップデートを Photo:PIXTA

Androidの脆弱性、自分のスマホは対象?影響範囲を確認

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みかを確認できる。

今回公開されたパッチレベル2026-03-01およびパッチレベル2026-03-05には、それぞれ1件の脆弱性が含まれている。

ゼロクリックでDoS攻撃も、今回の脆弱性はどれくらい危険か

深刻度が「緊急(Critical)」と評価されている脆弱性(CVE)は次のとおり。

  • CVE-2026-0049 - Frameworkコンポーネントにリソース枯渇の脆弱性。ローカルの攻撃者は追加の実行権限およびユーザー操作を必要とせずにサービス運用妨害(DoS: Denial of Service)を引き起こせる可能性がある(CVSSスコア:6.2)

もう一方の脆弱性「CVE-2025-48651」は、ハードウェアセキュリティモジュール「StrongBox」サブコンポーネントの脆弱性で、深刻度は「高(High)」と評価されている。Google、NXP、STMicroelectronics、Thalesの各コンポーネントに影響を与えるとされ、これらの企業のSoC(System-on-a-chip)および搭載セキュリティファームウェアに共通する脆弱性と推測されるが、その詳細は非公開となっている。

Android 13以前は要注意、サポート終了でリスクが高まる理由

Android 13以前のデバイスはサポートを終了しているため、古いデバイスのユーザーはできるだけ速やかに、新しいAndroidデバイスに乗り換えることが推奨される。

対策はアップデートのみ、パッチレベルと対応方法を解説

使用しているAndroidデバイスをパッチレベル2026-04-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 14、15、16、16-qpr2で利用可能になっている。