ニュース
ゼロデイ脆弱性に対処したAndroid OSの2026年3月セキュリティ更新 ~標的型攻撃に悪用
四半期に一度の大規模アップデート、メーカーからパッチが提供され次第適用を
2026年3月4日 06:45
米Googleは3月2日(現地時間)、Android OSのセキュリティ情報(ASB)を発表した。四半期ごと(3月、6月、9月、12月)にリリースされるだが、大規模なセキュリティアップデートとなっている。
Android OSのセキュリティ更新プログラムは、リリース月(2026-03)ごとに「01」と「05」という2つのセキュリティレベルに分けられている。
「01」は対応に時間のかかるカーネルコンポーネントや特定ベンダー向けの一部修正を省いたサブセット。修正範囲に制限を設け、迅速にユーザーへアップデートを提供できるように配慮されている。「05」はそれ以外の問題にも対処した、いわば完全版だ。
セキュリティ更新プログラムレベル「2026-03-01」
「2026-03-01」はこれまでに修正された問題に加え、新たにFrameworkで32件、Systemで19件の脆弱性が対処された。うち12件は「Google Play」システムのアップデート(Project Mainline)経由でも修正が配信される。
これらのうち、最も深刻なのはシステムコンポーネントにおける任意コード実行の問題(CVE-2026-0006)とサービス拒否の欠陥(CVE-2025-48631)だ。深刻度の評価は、4段階中最高の「Critical」。
セキュリティ更新プログラムレベル「2026-03-05」
「2026-03-05」はすべての問題に対処した完全版で、「2026-03-01」での修正に加えKernelで15件、Armのコンポーネントで1件、Imagination Technologiesのコンポーネントで7件、MediaTekのコンポーネントで20件、その他のOEMで1件、Unisocのコンポーネントで7件、Qualcommのコンポーネントで7件の脆弱性が解決された。
うち、Qualcommのコンポーネントで発見されたメモリ破壊の脆弱性「CVE-2026-21385」は、特定のターゲットを狙った標的型攻撃に悪用された可能性がある。できるだけ早い対処が必要だ。
そのほかにも、Qualcommのクローズドソースコンポーネントでも8件の脆弱性が修正されている。
