Googleは2026年6月1日、月例のAndroidセキュリティ情報を公開しました。計124件の脆弱性が修正され、うち18件が「緊急(Critical)」です。最も注意すべきは、権限昇格の脆弱性CVE-2025-48595が「限定的かつ標的型の攻撃で悪用されている可能性がある」とGoogle自身に明記された点です。BYOD(私物端末の業務利用)や業務用スマートフォンを管理する情シスは、配布されているパッチレベルが2026-06-05以降になっているかを早めに確認してください。
この記事でわかること
- 2026年6月のAndroid更新で何が修正されたのか(件数と深刻度)
- 実際に悪用が確認された脆弱性 CVE-2025-48595 の中身と影響範囲
- Android特有のパッチ配布の難しさと、情シスの現実的な打ち手
- 公的機関の指針をどう使うか(リンク誘導)
何が起きたのか
Googleが公開した「Android Security Bulletin — June 2026」では、Androidの基盤(Framework)やシステム、Linuxカーネル、Qualcomm・MediaTekなどのチップ部品にまたがる多数の脆弱性が修正されました。Googleはこのうち1件について、すでに攻撃に使われている可能性があると注意を促しています。
悪用が指摘されたのは CVE-2025-48595。AndroidのFramework(アプリが直接やり取りする中核のAPI・システムサービス層)における権限昇格(Elevation of Privilege)の脆弱性で、整数オーバーフロー(CWE-190)に分類されます。深刻度は「High(重要)」、CVSS基本値は8.4と報じられています。Googleは「限定的・標的型の攻撃で悪用されている可能性がある(may be under limited, targeted exploitation)」という、いわゆる「狙い撃ち」を示唆する表現を用いています。
「悪用されている」とは具体的にどういう状態か
結論から言うと、不特定多数へのばらまきではなく、特定の標的に対する攻撃で使われた痕跡がある段階です。「限定的・標的型」はGoogleが、広範な実環境での悪用までは確認されていないものの、狙い撃ちの攻撃は確認された、というニュアンスで使う言い回しです。広く出回る前の段階とはいえ、攻撃手法が公開・転用されれば一気に広がりうるため、優先度を上げて対処すべき分類です。
影響を受ける環境
今回の修正対象には、サポート中の主要バージョンである Android 14・15・16・16 QPR2 が含まれます。スマートフォンだけでなく、Androidをベースにした業務用端末(ハンディターミナル、デジタルサイネージ、一部のIoT機器など)も同じ基盤を共有しているため、無関係とは言い切れません。
Googleは2つの「セキュリティパッチレベル」を用意しています。下表の通り、すべての修正を取り込むには 2026-06-05 以降が必要です。
| 項目 | 内容 |
|---|---|
| 公開日 | 2026年6月1日(その後更新) |
| 修正件数 | 計124件(うち緊急18件) |
| 悪用確認 | CVE-2025-48595(権限昇格 / Framework) |
| 深刻度 | High、CVSS 8.4(報道ベース) |
| 対象バージョン | Android 14 / 15 / 16 / 16 QPR2 |
| 必要なパッチレベル | 2026-06-05 以降で全件対応 |
なぜ情シスにとって重要なのか
権限昇格の脆弱性は、それ単体で端末を乗っ取るというより、他の攻撃と組み合わせて被害を拡大させる「踏み台」になる点が厄介です。たとえば不正アプリや細工されたファイルでまず限定的な実行権限を得た攻撃者が、この脆弱性で管理者相当の権限へ昇格できれば、業務メール・認証情報・社内システムへのアクセストークンなどに手が届きます。業務端末が侵害の起点になれば、社内ネットワークへの横展開のきっかけにもなりかねません。
しかも「すでに悪用が確認されている」という事実は、攻撃者が現実に動いていることを意味します。理論上のリスクではなく、対応の緊急度が一段上がるシグナルだと受け止めるべきです。
現場目線の課題:Androidの更新は「配られているか」が見えにくい
正直なところ、Androidの月例パッチは「Googleが直したから安心」とはいきません。Googleが修正を公開しても、実際に端末へ届くまでには各メーカー(OEM)や通信事業者の検証・配信が挟まり、機種やキャリアによって配布時期がばらつきます。古い機種ではそもそも更新提供が終了していることもあります。iOSのように「Appleが配れば全機種ほぼ一斉」とはならないのが、現場でAndroidを管理する難しさです。
さらにBYODでは、私物端末のパッチレベルを会社が完全に把握・強制するのは容易ではありません。MDM/EMM(モバイルデバイス管理)を導入していても、ユーザーが更新を後回しにするとパッチレベルが揃わない、という悩みは多くの情シスが抱えているはずです。「管理画面では緑なのに、よく見ると数か月前のパッチレベルのまま」という端末は、現場では珍しくありません。
情シスはどうすべきか
やることはシンプルですが、徹底が難しいのがこのテーマです。優先順位の高い順に整理します。
- パッチレベルの確認を促す:利用者に「設定 > デバイス情報 > Androidバージョン / セキュリティパッチレベル」を確認してもらい、2026-06-05 以降になっているかをチェック。なっていなければ更新を実行。
- MDM/EMMで棚卸し:管理下端末のパッチレベルとOSバージョンを一覧で確認し、未適用・古い機種を洗い出す。古くて更新提供が切れた機種は、業務利用の継続可否を検討する。
- 提供元の限定とアプリ経路の管理:権限昇格は不正アプリと組み合わされやすいため、提供元不明アプリのインストール制限や、業務アプリの配布経路(Managed Google Play等)の管理を見直す。
- 利用者への周知:「更新が来たら早めに当てる」を改めて案内する。地道なユーザー啓発が、結局はいちばん効きます。
対策の進め方や社内ルールづくりの土台としては、自前で長大なチェックリストを作るより、公的機関の指針を起点にするのが効率的です。IPAの中小企業の情報セキュリティ対策ガイドラインや、利用者向け啓発に使える対策のしおりが、説明資料としても流用しやすくおすすめです。日々の脆弱性動向はJPCERT/CCの週次レポートで追えます。
中長期の視点
今回のように「悪用済みの権限昇格」が月例で出てくるのは、もはや珍しくありません。重要なのは、毎月の一件ごとに右往左往するのではなく、「パッチレベルを可視化し、一定期間内に更新を当てる」運用を仕組みとして回せるかどうかです。BYODであれば、最低限のパッチレベルを満たさない端末は社内リソースへアクセスさせない、といった条件付きアクセスの導入も中長期では検討に値します。当サイトの脆弱性・脅威情報もあわせて、自社の更新運用の見直しにご活用ください。
まとめ
- 2026年6月のAndroid更新は計124件(緊急18件)を修正。権限昇格のCVE-2025-48595が悪用確認済みとして注意喚起された。
- 全件対応にはパッチレベル2026-06-05以降が必要。対象はAndroid 14〜16系。BYOD・業務用端末を含めて棚卸しを。
- Androidは配布のばらつきが課題。MDM/EMMでの可視化と、公的指針を使った利用者啓発を仕組み化することが近道。
出典
- Android Open Source Project「Android Security Bulletin — June 2026」 https://source.android.com/docs/security/bulletin/2026/2026-06-01
- JPCERT/CC Weekly Report(2026-06-10) https://www.jpcert.or.jp/wr/2026/wr260610.html
- The Hacker News「Google June 2026 Android Update Patches 124 Flaws, One Actively Exploited」 https://thehackernews.com/2026/06/google-june-2026-android-update-patches.html
- Help Net Security「Google fixes actively exploited Android vulnerability (CVE-2025-48595)」 https://www.helpnetsecurity.com/2026/06/02/android-vulnerability-exploited-cve-2025-48595/
