Androidのセキュリティ情報が“月次0件”になる理由。ぜい弱性の掲載が四半期中心に変わった背景
Yusuke Sakakura
Yusuke Sakakura
ブログメディア「携帯総合研究所」を運営しています。学生時代に開設して今年が16年目。スマートフォンの気になる最新情報をいち早くお届けします。各キャリア・各メーカーの発表会に参加し、取材も行います。SEの経験を活かして料金シミュレーターも開発しています。
Googleは、Pixelデバイスのアップデート提供期間を3年→5年→7年へと拡大してきました。これに呼応するようにSamsungなどもアップデートの提供期間を伸ばしています。
ユーザーにとって製品寿命が伸びたのは歓迎すべき変化です。一方で、メーカー側の負担は確実に増えます。1つの製品の保証期間が延びるだけでなく、保証対象となる端末の総数も積み上がっていくため、アップデートの統合・検証・配信にかかる手間とコストは膨らみます。
その結果、アップデートの提供が遅れたり、低価格帯のモデルでは頻度が落ちたり、保証期間が短くなるといったこともあります。
Googleはこうした状況を踏まえ、セキュリティアップデートの運用を見直しています。
2025年7月のぜい弱性の修正掲載は0件に
Androidのセキュリティアップデートの運用変更は昨年夏から始まっています。
どういったぜい弱性が修正されたのかを毎月公開している「Androidのセキュリティに関する公開情報」(Android Security Bulletin——ASB)を確認すると、7月は0件だったのに対して、四半期となる9月と12月には100を超えるぜい弱性の修正が記載されています。
Android Authorityによると、2025年7月の0件となったのは、当時まで公開されていた120のASBのうち初めてとのこと。
ただし、これは修正が一切ないという意味ではありません。月次のASBは“高リスク”と判断された脆弱性を中心に掲載し、それ以外の多くを四半期のASBにまとめる運用に変化しているためです。
Android Security Bulletinの履歴
以下は、ASBに掲載された脆弱性のうち「重大度(重大/高/中)が付いている項目」を集計したものです。
なお、このほかにGoogle Play system updates(重大度が付かない形式で記載されることがある)による修正分もあります。
| 重大 | 高 | 中 | |
|---|---|---|---|
| 2025年6月 | 0件 | 34件 | 0件 |
| 2025年7月 | 0件 | 0件 | 0件 |
| 2025年8月 | 2件 | 4件 | 0件 |
| 2025年9月 | 3件 | 105件 | 0件 |
| 2025年10月 | 0件 | 0件 | 0件 |
| 2025年11月 | 1件 | 1件 | 0件 |
| 2025年12月 | 1件 | 100件 | 1件 |
これまでのセキュリティアップデートの問題とは?
ASBは数百に及ぶこともある、セキュリティパッチを月1回のサイクルにまとめたものです。
公開版と非公開版があり、公開版は基本的に月の最初の月曜日に公開されます。
一方で、非公開版はOEMやチップベンダーなどに対して約30日前に共有することで、一般公開前にパッチを取り込み、テストするための重要なリードタイムを提供しています。
ただし、この猶予があっても、すべてのメーカーがすべての端末にセキュリティアップデートを毎月配信できるわけではありません。
実際、多くのメーカーは、「何年間アップデートするか」は示しても、「毎月提供する」といった頻度までは保証していないケースがほとんどです。
とくに低価格帯の端末は、サポートにかけられるコストや検証リソースが限られがち。さらにキャリアの承認が必要になる場合があり、配信までの時間が延びることもあります。
その結果、最新のセキュリティパッチが適用されないままの端末が生まれ、ぜい弱性悪用のリスクにさらされることになります。
掲載配分を見直して問題を解消
この問題を解決するために、Googleはセキュリティアップデートの運用を見直しています。
これまでは、利用可能な修正をすべてASBにまとめて掲載する形でしたが、現在は”高リスク”と判断された、ぜい弱性を月次で優先的に扱い、それ以外の多くを四半期のASBに集約されています。
なお、ここでいう”高リスク”のぜい弱性は、ASBに記載されている重大度と必ずしも一致しません。実際に悪用が確認されているなど、すぐに対処すべきか、という現実の脅威度にもとづく分類です。
運用の変更についてGoogleは正式に発表していませんが、Android Authorityは複数の情報源に取材して変更を確認したと伝えています。
また、Googleは同メディアの取材に対して以下のように回答しています。
【翻訳済み】AndroidとPixelのセキュリティ情報は毎月公開されています。ユーザーの安全を守るため、私たちは強力なセキュリティをAndroidの基盤に深く組み込んでいます。Androidは、Rustのようなメモリセーフ言語の採用や高度な悪用対策など、広範なプラットフォーム強化により、多くの脆弱性悪用を根本から防ぎます。AndroidとPixelは既知の脆弱性へ継続的に対応しており、とくにリスクが最も高いものを優先して修正・パッチを提供しています。
新しい運用によって、OEMは毎月取り込みパッチを絞りやすくなり、統合・テスト・配信の負担が軽減されます。結果として、より多くの端末に対して、より頻繁にアップデートを提供できる可能性があります。
一方で、月次のASBは”高リスク”中心の掲載になることから、月によっては掲載が0件になることもあります。2025年の7月と10月が代表例です。
重要なのは、これは「修正が存在しない」という意味ではない点です。低リスク寄りの修正の多くが四半期のASBにまとまって掲載されるため、四半期の月(9月・12月など)に件数が大きく膨らみやすくなります。
例えば、昨年9月のASBに記載されたCVE-2025-21450のように、ASBへの掲載時期と、メーカー側の更新情報で言及・対応が確認できる時期が一致しないケースもあります。
こうした「掲載の集約」が進むことで、9月や12月のASBに100件を超える修正がまとまって並ぶ、という見え方につながっています。
新しい運用によるデメリットも
新しい運用に懸念も指摘されています。
これまでGoogleはOEMなどに対して約1か月前に事前共有していましたが、四半期のASBに集約される修正が増えることで、事前共有の期間が数か月単位になる可能性があります。
リードタイムが長くなるほど、万が一情報が漏えいした場合に、悪意ある攻撃者が脆弱性の詳細を手掛かりに攻撃手段を準備する時間が増える恐れがあります。
非公開ASBはセキュアに共有されているものの、数十社にまたがる多数の開発者がアクセスできるため、漏えいリスクがゼロとは言い切れない、という指摘です。
もうひとつのデメリットは、Googleが月次のセキュリティアップデートについてはソースコードを公開せず、四半期アップデート分のみ公開する方針に寄せている点です。これにより、カスタムROMなどが月次でアップデートを追随するのは難しくなります。
月次ASBの件数が少ない月があっても、Androidの修正が止まったわけではありません。見え方が変わっただけです。大事なのは最新の状態に保つこと。更新通知が来たら早めに適用しましょう。
コメントを残す