CISA Warns of Android 0-Day Vulnerability Exploited in Attacks
2025/12/03 CyberSecurityNews — 米国の CISA は、Android フレームワークで実際に悪用が確認されている、2件の深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。これらの脆弱性により Android OS が標的化され、世界中の多数のデバイスに影響を与える恐れがある。CISA は 2025年12月2日に、Android フレームワークの権限昇格の脆弱性 CVE-2025-48572 と、情報漏洩の脆弱性 CVE-2025-48633 を KEV カタログに追加した。連邦政府機関および重要インフラ事業者には、2025年12月23日までにパッチを適用することを義務付けられている。
既知の悪用リストに追加された脆弱性
1つ目の脆弱性 CVE-2025-48572 は、Android フレームワークの欠陥であり、標的デバイスを侵害した脅威アクターに、権限昇格の機会を与えるものだ。技術的な詳細を公開していない Google には、パッチ提供前の悪用拡大を抑止する意図があるとされる。この脆弱性が悪用されると、マルウェアのインストール/機密データへのアクセス/デバイスへの永続的なバックドア設置が可能になる。
2つ目の脆弱性 CVE-2025-48633 は、Android フレームワークの情報漏洩の欠陥であり、明示的なユーザー操作を必要とせずに、攻撃者に対して機密データの取得の機会を与えるものだ。前述の権限昇格の脆弱性と組み合わせることで、強力な攻撃チェーンが成立し、標的デバイスのセキュリティが完全に侵害される恐れがある。
| CVE ID | Vulnerability Type | Component | Status |
|---|---|---|---|
| CVE-2025-48572 | Privilege Escalation | Android Framework | Active Exploitation |
| CVE-2025-48633 | Information Disclosure | Android Framework | Active Exploitation |
現時点で、これらの脆弱性がランサムウェア攻撃に使用された事例は確認されていない。しかし、CISA KEV カタログへの追加が示すのは、すでに悪用が発生していることである。Android デバイスを標的とする脅威アクターたちは、複数の脆弱性を組み合わせて悪用する傾向がある。したがって、個人/企業ユーザーは、早急にパッチを適用する必要がある。CISA が推奨するのは、パッチが公開され次第、ベンダーが示す緩和策を直ちに適用することである。
連邦政府機関は、拘束力のある運用指令 BOD 22-01 に基づき、12月23日までのパッチ適用期限を遵守しなければならない。なお、速やかなパッチ適用が不可能な組織は、影響を受ける製品の使用中止、もしくは、追加の補償的セキュリティ対策によるリスクの低減を検討する必要がある。
Android デバイスのユーザーは自動セキュリティ更新を有効化し、Google Play システム・アップデートを確認して、保留中のパッチの有無を確認すべきである。企業におけるモバイル・デバイス管理者は、会社所有デバイスへの Android セキュリティ・アップデートを優先的に展開し、パッチの提供状況をユーザーに周知すべきである。それと並行して、脆弱性悪用に関連する侵害の兆候を監視し、侵害時にはネットワーク・セグメンテーションを実施して横方向移動を抑制すべきである。
モバイル・プラットフォームを標的とする脅威アクターたちが、高度な攻撃チェーンを進化させ続けているが、Android のセキュリティ環境も継続的に変化している。今回の CISA アドバイザリが強調するのは、定期的なパッチ適用/セキュリティ監視/迅速なインシデント対応により、デバイスのセキュリティを維持することの重要性である。ユーザー組織は、緊急性の高い通知として受け止め、修復作業の優先順位を引き上げるべきである。
Android フレームワークに存在する2つの脆弱性 CVE-2025-48572/CVE-2025-48633 が、CISA KEV カタログに登録されました。問題の原因は、権限昇格と情報漏洩を可能にしてしまうフレームワーク内部の欠陥であり、これらが組み合わさることで攻撃者に強力な踏み台を与えてしまうとのことです。このカタログに登録される脆弱性は、米連邦政府内での悪用が確認されているものとなります。ご利用のチームは、ご注意ください。よろしければ、CISA KEV での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.