セキュリティ
Android
2026年6月、Googleがそっと(でも結構ヤバめな)アップデートをリリースしました。修正された脆弱性は124件。そのうち1件は、パッチが出る前にすでに実際の攻撃に使われていたことが確認されています。
「また脆弱性の話か…」と思いますよね。私もこういうニュースを毎月見るたびに少し慣れてしまっているんですが、今回はちょっと毛色が違うのでお伝えしたいと思いました。
店長より
「ゼロデイ」「CVE」「権限昇格」……こういう単語が並ぶとすぐに画面を閉じたくなる気持ち、すごくわかります。でもこの記事では、そういう難しい言葉をできるだけ噛み砕いてお伝えします。最後まで読めば「なるほど、今すぐアップデートすればいいのね」と腑に落ちるはずです。
今回の修正、まず数字を整理する
修正件数(合計)
124件
2026年6月セキュリティパッチ
うち重大(Critical)
18件以上
Framework・System・Qualcommなど
実際に攻撃された件数
1件
CVE-2025-48595(ゼロデイ)
影響するAndroidバージョン
14 / 15 / 16
Android 14以降が対象
「124件」という数字、びっくりしませんか。でも実はこれ、毎月あることなんです。Androidというスマホ用OSは、Google自身のコードだけでなく、QualcommやMediaTekといったチップメーカー、各スマホメーカーのカスタムコードなど、複数のベンダーが作ったコードの集合体です。その分、修正すべき場所も毎月大量に出てきます。
「ゼロデイ」って何が怖いの?
ここが今回のポイントです。まず「ゼロデイ」という言葉の意味から。
📌 ゼロデイとは
セキュリティの欠陥(脆弱性)が発見されたとき、修正パッチが出る前にすでに攻撃者に悪用されている状態のこと。「修正まで0日しかない」=ゼロデイという名前の由来です。
通常のセキュリティ修正は「まず内部で発見→修正→パッチ配布」の順番です。ユーザーがパッチを当てる前に攻撃されることは(理論上は)ありません。
ところがゼロデイは順番が逆になっています。「すでに攻撃されている→ばれた→慌てて修正」という流れ。パッチが出る前から被害を受けているユーザーがいる、ということです。
今回のゼロデイ(CVE-2025-48595)の内容
場所:Android Framework(アプリとOSの橋渡しをするコア部分)
何ができる:権限昇格・コード実行(攻撃者がデバイスをより深くコントロールできる)
深刻度スコア:CVSS 8.4(High)
Googleの表現:「限定的・標的型の悪用の可能性がある」
「権限昇格」をわかりやすく言うと、こういうことです。
🔑 権限昇格をアナロジーで説明
会社に例えると、アルバイトのIDカードしか持っていない人が、この脆弱性を使うことで社長室の鍵まで手に入れてしまうようなイメージです。本来はアプリに許可されていないシステムの深い部分に、勝手にアクセスできるようになってしまう。
「限定的・標的型」は一般ユーザーには関係ない?
Googleは「limited, targeted exploitation(限定的・標的型の悪用)」という表現を使っています。これはどういう意味でしょうか。
これは業界的には「商業スパイウェアや国家的なハッキンググループが、特定の人物(政治家・ジャーナリスト・企業経営者など)を狙って使っているケースが多い」という意味合いです。無差別にばらまかれているわけではない、ということです。
⚠️ じゃあ一般ユーザーは関係ない?
今すぐ「私が狙われる」確率はかなり低いです。正直に言います。
ただ、「今は」というだけの話で、こういう攻撃手法は時間が経つと技術的ハードルが下がって、より広範囲に使われるようになることがよくあります。今日の「標的型」が、半年後には「自動化されたバラまき型」になっていた、という歴史が繰り返されています。
パッチを当てておけばその心配が消える。それだけの話です。
店長より
「スパイウェアって映画の話でしょ?」と思いがちなんですが、NSO GroupのPegasusとか、実際に日本のスマホにも入り込んでいた事例が報告されています。標的になるのは有名人だけではなく、取引先との関係次第で一般の中小企業経営者やその家族が狙われることもあります。大げさに言っているわけじゃなくて、実際にそういう相談がゼロではない業界にいるからこそお伝えしています。
パッチが「出た」=「届いた」じゃない問題
ここ、iPhoneと比べてAndroidが特によく批判されるポイントです。Googleがパッチをリリースしても、それがあなたの手元のスマホに届くまでには複数の関門があります。
1
Googleがパッチを公開
Pixelユーザーはここで即反映されます。他のメーカーは次のステップへ。
2
各スマホメーカーが自社ファームウェアに組み込む
Samsung・OPPO・シャープなど、各メーカーが自社の独自機能やUIにパッチを組み込んでテストします。これに数週間〜数ヶ月かかることがあります。
3
キャリア(通信会社)が確認・配信
docomo・au・SoftBankなど、キャリアブランド端末の場合はここでさらに独自の確認が入ります。
4
あなたのスマホに通知が届く
ようやくここで「アップデートがあります」と表示されます。Googleの公式発表から数週間後になることも珍しくありません。
さらに厄介なのが、古い機種はそもそもパッチが届かないという問題です。メーカーのサポート期限が切れた端末は、どんな危険な脆弱性が見つかっても修正が提供されません。「スマホは壊れてないから使い続ける」という選択肢が、セキュリティ的にはかなりリスキーな理由はここにあります。
店長より
当店にも「5年以上使っているAndroid、まだ動くから大丈夫ですよね?」という相談をよくいただきます。動くことと、セキュリティが守られていることは別の話です。古い端末は「鍵のかかっていない家に住んでいる」ような状態になっている可能性があります。
今日できること・確認すること
難しいことは何もありません。まず自分のスマホのアップデート状況を確認してみてください。
Androidのアップデート確認手順
1
「設定」アプリを開く
歯車マークのアプリです。
2
「システム」または「端末情報」をタップ
メーカーによって名称が異なる場合があります。画面を下にスクロールして探してみてください。
3
「ソフトウェアアップデート」または「システムアップデート」をタップ
アップデートがあれば「今すぐダウンロード」のボタンが表示されます。なければ最新の状態です。
4
「Androidセキュリティパッチレベル」を確認
「端末情報」の中に表示されています。2026年6月1日以降の日付になっていれば今回の修正が当たっています。
自分のスマホが「サポート対象か」を確認する目安
Pixel(Google)
7年間サポート
Pixel 6以降は7年間のOSとセキュリティ更新あり
Samsung Galaxy
最大7年
S・Aシリーズ上位モデルは7年、下位モデルは4年
その他国内メーカー
2〜4年が目安
機種によりサポート期間が異なるため、メーカーサイトで確認を
🚨 こんな状況は要注意
・セキュリティパッチレベルが1年以上前の日付になっている
・アップデートを確認すると「お使いの端末は最新です」と表示されているのに日付が古い(=サポート終了の可能性)
・購入から5年以上経過している
まとめ
今回の話を3行でまとめると、こういうことです。
✅ Googleが6月のAndroidパッチを公開。124件の修正のうち1件はゼロデイ(すでに実攻撃あり)。
✅ 今すぐ全員が狙われているわけではないが、パッチを当てない理由にはならない。
✅ Googleの公開から自分のスマホに届くまでにタイムラグがある。まず確認を。
「怖い話だったけど、結局アップデートしておけばいいんですね」という感想が正解です。特別なアプリを入れたり、設定を複雑にいじったりする必要はありません。普通にアップデート通知が来たら、先延ばしにせず当てる。それだけです。
店長より
「アップデートしたら今まで使えてたアプリが動かなくなった」「操作感が変わって困った」という声も正直聞きます。でもセキュリティパッチだけを目的とした更新は、アプリの挙動を大きく変えるものではありません。怖がらずに当てていただいて大丈夫です。もし更新後に何か困ったことがあれば、いつでも相談してください。
参考・出典
スマホやパソコンのセキュリティ、気になることはありませんか?
「うちの端末、サポート終わってるかも…」「アップデートしたら動きがおかしくなった」
まずはご相談から。お気軽にどうぞ。
LINEで相談する(月〜土 9:30〜19:00)
まずはご相談から。お気軽にどうぞ。
