PR

Google、Androidゼロデイ2件を含む107件を修正

Security

Source:https://www.bleepingcomputer.com/news/security/google-fixes-two-android-zero-days-exploited-in-attacks-107-flaws/

🛡 概要

Googleは2025年12月のAndroidセキュリティ情報を公開し、合計107件の脆弱性を修正しました。うち2件(CVE-2025-48633、CVE-2025-48572)は標的型攻撃で悪用が確認されたゼロデイです。さらに、Android Frameworkの重大なDoS(CVE-2025-48631)や、KernelのPkvm/UOMMUにおける権限昇格(重大)、Qualcommデバイス向けの重大な修正(CVE-2025-47319、CVE-2025-47372)も含まれます。対象は主にAndroid 13〜16で、パッチレベルは2025-12-01(Framework/Systemの51件)と2025-12-05(Kernelやサードパーティを含む56件)。SamsungなどOEMの月例更新や、Google Playシステム更新で一部の重要修正がAndroid 10以降にも配信されます。

🔍 技術詳細

今回の更新は、Android FrameworkおよびSystemで51件(2025-12-01)、Kernelやクローズドソース成分で56件(2025-12-05)の修正を提供します。悪用確認のゼロデイは以下の通りです:

  • CVE-2025-48633:情報漏えい(Information Disclosure)。Android 13〜16に影響。機密メモリの露見や権限境界の推測支援につながる可能性があり、後続の権限昇格やサンドボックス回避の足掛かりとなり得ます。CVSS:未公開。
  • CVE-2025-48572:権限昇格(Elevation of Privilege)。Android 13〜16に影響。アプリが想定外のシステム権限を獲得し、デバイス制御やデータアクセス拡大につながるリスク。CVSS:未公開。

最も深刻と評価されたのはAndroid FrameworkのDoS(CVE-2025-48631)で、system_serverのクラッシュやサービス停止を誘発し可用性を損なう恐れがあります。Kernel側ではPkvm(保護KVM)およびUOMMUサブコンポーネントに重大な権限昇格が複数修正され、仮想化・メモリ分離の保護を迂回される危険が低減されます。さらに、Qualcommプラットフォーム向けの重大欠陥(CVE-2025-47319、CVE-2025-47372)の修正が提供され、MediaTek/Qualcommのベンダー告知にも追加情報があります。

Googleは技術的詳細やPoCを未公開としており、攻撃は「限定的かつ標的型」と説明されています。過去事例からは商用スパイウェアや国家支援型の監視目的で、高関心人物の端末に対して情報漏えいと権限昇格を組み合わせたチェーンで悪用される傾向がありますが、本件での具体的な侵入経路やチェーンは公表されていません。CVSSスコアも現時点で未公開です。

⚠ 影響

  • 機密性:情報漏えいにより、アプリ間境界やシステム内部情報が露見し、監視・追跡や次段の攻撃成功率が上昇。
  • 完全性:権限昇格により端末設定改変、セキュリティ制御の無効化、データ改ざんの恐れ。
  • 可用性:FrameworkのDoSで業務アプリ停止、通話・認証の中断、端末再起動ループを誘発する可能性。

🛠 対策

  • 更新適用:2025-12-05パッチレベル到達を最優先(設定→セキュリティ→Androidセキュリティアップデート)。
  • Google Playシステム更新:Android 10以降はMainline/Project Mainline経由の重要修正を即時適用(設定→セキュリティ→Google Playシステムアップデート)。
  • OEM更新:Samsung等のベンダー更新を適用。Qualcomm/MediaTek端末はベンダー告知の適用可否を確認。
  • MDM/EMM:パッチレベル準拠を強制、未適用端末を隔離。未知ソースからのアプリ導入禁止、USBデバッグ無効化。
  • Play Protect:常時有効化・最新化。未知のサイドロードをブロック。
  • 長期対策:更新停止端末はサポート継続機種へリプレース、または信頼できるサードパーティROMで定期更新を受ける。

📌 SOC視点

  • 端末テレメトリ:system_serverや重要サービスの反復クラッシュ、ANR増大、再起動ループ、カーネルパニックの発生(pkvm/uommu関連ログ)。
  • 権限異常:通常不要なSYSTEM/ROOT相当権限の取得痕跡、SELinuxポリシー逸脱の兆候(許可変更・監査ログ増)。
  • アプリ挙動:未知ベンダー署名アプリの導入、アクセシビリティ/アクセスポリシーの不審な付与、デバイス管理者権限の奪取試行。
  • ネットワーク:C2らしき長時間TLSセッション、DoH/DoTを用いたデータ流出、非常駐時間帯の大容量アップロード。
  • 検知強化:Play Protect/EDRのシグネチャ更新、YARA-L等のモバイル適用、MDMコンプライアンス違反の自動隔離。

📈 MITRE ATT&CK

  • Privilege Escalation:権限昇格(CVE-2025-48572、KernelのPkvm/UOMMUの重大欠陥)。根拠=Google告知でEoPと明記。
  • Collection/Discovery:情報漏えい(CVE-2025-48633)を悪用した内部情報の収集。根拠=情報開示の性質上、環境情報やデータ露見に直結。
  • Impact(Availability):DoS(CVE-2025-48631)でサービス停止。根拠=Frameworkの重大なDoSとして修正。

注:Googleは技術詳細を未公開のため、上記は脆弱性の分類(情報漏えい・権限昇格・DoS)に基づく戦術レベルの整合性評価です。

🏢 組織規模別助言

  • 小規模(〜50名):全端末で2025-12-05取得を確認。未更新は業務利用を一時停止。Play Protectとバックアップの定期化。
  • 中規模(50〜500名):MDMでパッチレベル準拠ポリシー、サイドロード禁止、USBデバッグ無効化。未準拠はゼロトラスト基盤でアクセス制限。
  • 大規模(500名以上):CABで緊急ロールアウト、分割展開とロールバック計画。SOCでモバイルEDRの検知チューニング、CVE別ダッシュボード監視。

🔎 類似事例

  • CVE-2023-5217(libvpx、広範に悪用。Chrome/Android WebView経由の標的攻撃で報告)
  • CVE-2023-4863(WebPのヒープバッファオーバーフロー、野放し悪用)
  • CVE-2022-38181/CVE-2023-26083(Mali GPU、Androidで野放し悪用がGoogle TAGから報告)

🧭 次の一手

  • 端末の「Androidセキュリティアップデート」と「Google Playシステムアップデート」を手動確認し、2025-12-05へ更新。
  • MDMでパッチレベル準拠を必須化し、未準拠端末をネットワーク隔離。
  • Googleの2025年12月Androidセキュリティ情報、Qualcomm/MediaTek、Samsungの月例告知を確認。
  • 攻撃兆候チェックリスト(不審クラッシュ、未知アプリ、長時間TLS通信)でセルフハントを実施。