Android端末に深刻な脆弱性、遠隔操作の恐れも　2026年3月のアップデート公開

【東京】グーグル（Google）は、Android OSに関する2026年3月の月例セキュリティ情報を公開した。今回のアップデートでは、合計116件という極めて多数の脆弱性が修正されており、その中には攻撃者が端末を遠隔から完全に制御できる「クリティカル（緊急）」な欠陥も含まれている。専門家は、一部の脆弱性が既に実際のサイバー攻撃に悪用されている兆候があるとして、利用者に対し「android 脆弱性 アップデート」を速やかに実施するよう強く呼びかけている。

■ 最大の脅威は「リモートコード実行」　116件の修正内容

今回のセキュリティパッチ（パッチレベル「2026-03-01」および「2026-03-05」）で修正されたのは、Androidフレームワーク、システム、カーネル、およびクアルコム（Qualcomm）やメディアテック（MediaTek）といったチップセット関連のコンポーネントだ。

最も深刻とされるのは、システムコンポーネントに存在する脆弱性「CVE-2026-0006」である。これは「ヒープバッファオーバーフロー」に起因するもので、認証を必要とせずに遠隔から任意のコードを実行（RCE）できるリスクがある。悪用された場合、ユーザーが気づかないうちにスマートフォンが乗っ取られ、個人情報の窃取やカメラ・マイクの盗聴、不正なアプリのインストールが行われる危険性がある。

また、権限を不正に昇格させる「CVE-2026-0047」や、特定の動作を不能にするサービス拒否（DoS）の脆弱性「CVE-2025-48631」など、深刻な「Critical」レベルの脆弱性が少なくとも10件以上確認されている。

■ 既に「悪用済み」のゼロデイ攻撃も確認

深刻度を増している背景には、一部の脆弱性が既に特定の標的型攻撃に悪用された可能性（ゼロデイ脆弱性）が指摘されている点にある。特に、クアルコム製コンポーネントに関連する「CVE-2026-21385」などは、修正プログラムが広く配布される前に攻撃者がその隙を突いた形跡があるという。

サイバーセキュリティの専門家は、「100件を超える脆弱性が一度に修正されるのは異例ではないが、今回はリモート実行が可能な致命的欠陥が含まれている。攻撃のハードルが低く、影響範囲が広いため、放置することは極めて危険だ」と警鐘を鳴らす。

■ メーカー各社の対応状況

グーグル製の「Pixel」シリーズについては、既に3月のアップデートが配信開始されており、Android AOSPの修正に加え、独自の修正16件を含む包括的なパッチが適用可能となっている。

一方で、サードパーティ製デバイスについては各社の対応に差が出ている。

• Samsung (Galaxy)：グーグルの修正に加え、サムスン独自のセキュリティ項目（SVE）5件を含む計65件の修正を順次展開。
• その他のメーカー（ソニー、シャープ、OPPO等）：各社がグーグルからのパッチを受け取り、独自のカスタマイズを施した上で配信するため、利用者への到達には数日から数週間のタイムラグが生じる可能性がある。

利用者は、設定メニューの「システム」または「セキュリティ」項目から、「ソフトウェア・アップデート」を手動で確認し、最新の状態になっているかチェックする必要がある。

■ Android 13以前は「サポート終了」の壁

今回のアップデート対象となっているのは、Android 14、15、16、および最新の16-QPR2だ。注意が必要なのは、Android 13以前の古いOSを搭載した端末である。これらは既にメーカーおよびグーグルのサポート期間が終了しており、今回の致命的な脆弱性に対する修正パッチが提供されない。

セキュリティ関係者は、「古いOSを使い続けることは、家中の鍵が開いたままの状態で放置しているのと同じ。修正が受けられない端末を利用している場合は、セキュリティリスクを回避するために最新のデバイスへの買い替えを真剣に検討すべきだ」と指摘している。

グーグルは今後も、四半期ごとの大規模なセキュリティリリース（3月、6月、9月、12月）を通じてプラットフォームの強化を図る方針だが、ユーザー側の「android 脆弱性 アップデート」に対する意識向上が、サイバー防衛の最前線となる。