結論:Androidの2026年6月セキュリティ更新で計124件の脆弱性が修正されました。うち1件(CVE-2025-48595)は「限定的・標的型」での悪用がすでに確認されたゼロデイです。さらに、ユーザーの操作を必要としない重大な遠隔コード実行(RCE)/権限昇格の脆弱性も含まれます。業務利用のAndroid端末・BYOD端末は、セキュリティパッチレベルが 2026-06-05 以降 になっているかを早急に確認してください。
この記事でわかること
- 2026年6月のAndroidセキュリティ情報で何が修正されたのか
- すでに悪用が確認されているゼロデイ(CVE-2025-48595)の概要
- ユーザー操作不要の重大脆弱性が業務端末にとってなぜ怖いのか
- 情シスが今すべきこと(パッチレベルの確認とMDM運用の勘所)
何が起きたのか
Googleは2026年6月のAndroidセキュリティ情報(Android Security Bulletin)を公開し、Framework・System・カーネル・チップセットベンダー(Qualcomm等)の各コンポーネントにまたがる計124件の脆弱性を修正しました。この中には、すでに実際の攻撃で悪用が観測されている脆弱性が1件含まれています。
Androidの月例セキュリティ情報には「2026-06-01」と「2026-06-05」の2つのパッチレベルがあります。すべての修正を取り込んだ完全な状態は「2026-06-05」です。端末の「設定 → デバイス情報 → Androidバージョン」などで確認できる「Androidセキュリティ パッチレベル」が、この日付以降になっているかが当面の判断基準になります。
すでに悪用されているゼロデイとは?
悪用が確認されたのは CVE-2025-48595 です。Framework内の整数オーバーフローに起因する権限昇格(Elevation of Privilege)の脆弱性で、CVSS v3.1 のスコアは 8.4 と報告されています。Googleは「限定的かつ標的型の悪用の兆候がある(limited, targeted exploitation)」と注記しています。攻撃の起点はローカル、すなわち不正なアプリを端末上で動かすことが前提とされ、影響範囲は Android 14・15・16・16-QPR2 とされています。
「ローカルからの攻撃なら遠隔よりマシ」と考えがちですが、実際には不正な広告や偽アプリ、サイドローディング(公式ストア外からのインストール)を通じて悪意あるアプリが入り込めば成立し得ます。標的型での悪用がすでに確認されているという点は、後回しにできない理由になります。
ユーザー操作が不要な重大脆弱性も
今回の修正には、Framework コンポーネントで「追加の実行権限を必要とせず、かつユーザーの操作も不要」とされる重大(Critical)な権限昇格の脆弱性(CVE-2025-65018 など)も含まれます。利用者が何も操作しなくても侵害が成立し得るクラスの不具合で、攻撃を受けても利用者が気づきにくいのが厄介な点です。加えて、Qualcomm のクローズドソース部分にも重大な脆弱性が複数修正されています。
影響を受ける環境・要点整理
| 項目 | 内容 |
|---|---|
| 修正件数 | 計124件(Framework / System / カーネル / ベンダー) |
| 悪用確認済みのゼロデイ | CVE-2025-48595(権限昇格/CVSS 8.4/限定的・標的型) |
| 影響バージョン(ゼロデイ) | Android 14・15・16・16-QPR2 |
| ユーザー操作不要の重大RCE/権限昇格 | Framework に複数(例:CVE-2025-65018) |
| 適用すべきパッチレベル | 2026-06-05 以降 |
※件数・分類はベンダー公表および各種報道に基づく概要です。自社環境への正確な影響は、後述の公式ソースで個別CVEを確認してください。
情シスにとって何が問題か(現場目線)
PCのパッチ適用は WSUS や資産管理ツールでまだ統制しやすい一方、スマートフォンは「更新が端末メーカーとキャリアの都合に強く依存する」のが現場の悩みどころです。同じ「Android」でも、メーカーやモデルによって月例パッチが届く時期はバラバラで、サポート期限を過ぎた端末には最新のセキュリティパッチレベルがそもそも降ってこないことも珍しくありません。
さらに、BYOD(私物端末の業務利用)では端末側の更新を会社が強制しづらく、「いつ・誰の・どの端末が・どのパッチレベルか」を把握しきれないもどかしさがあります。今回のようにすでに悪用されているゼロデイがあると、「自社にどれだけ古い端末が残っているか分からない」こと自体がリスクになります。限られた人員で、業務スマホとBYODの両方に目を配るのは容易ではありません。
まず確認すべきこと
- 業務貸与スマホ・タブレットのセキュリティパッチレベル(2026-06-05以降か)
- MDM/EMMで「パッチレベル別」「OSバージョン別」の台数を可視化できているか
- サポート切れで更新が来ない端末がどれだけ残っているか(リプレース計画の有無)
- BYOD端末に対し、最低限のOSバージョン・パッチレベルを業務アクセスの条件にできているか
情シスはどうすべきか(公的指針への誘導)
個別の対策チェックリストを自前で抱え込むより、まずは公的機関の指針に沿って運用を整えるのが近道です。スマートフォンの業務利用や私物端末(BYOD)の管理については、IPA(情報処理推進機構)の各種ガイドが実務の土台になります。
- IPA「中小企業の情報セキュリティ対策ガイドライン」:https://www.ipa.go.jp/security/guide/sme/index.html(端末管理・更新運用の基本方針づくりに)
- IPA「対策のしおり」(エンドユーザ啓発向け):https://www.ipa.go.jp/security/guide/shiori.html(不審アプリを入れない・公式ストアを使う等の啓発に)
あわせて、利用者への地道な啓発も効果的です。「OSアップデートの通知が来たら放置せず適用する」「アプリは公式ストアから入れ、提供元不明アプリのインストールは原則オフ」といった当たり前の徹底が、今回のようなローカル悪用型のゼロデイに対する現実的な防御になります。技術的な統制と、利用者教育の両輪で進めるのが結局は近道です。
関連情報は当サイトの脆弱性・脅威情報もあわせてご確認ください。
中長期の視点
Androidのゼロデイ悪用は近年増加傾向にあり、商用スパイウェアの存在も指摘されています。月例更新を「来たら入れる」受け身の運用から、パッチレベルを資産情報として継続的に可視化し、サポート切れ端末を計画的に置き換える運用へと、少しずつ移行していくことが求められます。スマホは「個人の道具」という感覚が残りやすい領域ですが、業務データにアクセスする以上、PCと同じ温度感で更新管理の対象に組み込んでいく必要があります。
まとめ
- Androidの2026年6月更新は計124件を修正。悪用確認済みのゼロデイ(CVE-2025-48595)とユーザー操作不要の重大脆弱性を含む。
- 業務スマホ・BYOD端末はパッチレベル2026-06-05以降への更新を最優先で確認する。
- MDMでのパッチレベル可視化・サポート切れ端末の棚卸し・利用者啓発の三点を、IPAの公的指針に沿って継続的に回す。
出典
- Android Open Source Project「Android Security Bulletin—June 2026」 https://source.android.com/docs/security/bulletin/2026/2026-06-01
- JVNDB-2026-020700(Google Android の境界外書き込みに関する脆弱性) https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-020700.html
- IPA 情報セキュリティ対策ガイド(中小企業向け) https://www.ipa.go.jp/security/guide/sme/index.html
