Androidの「何もしなくても攻撃される」脆弱性(CVE-2025-54957)
2026年1月のAndroidセキュリティアップデートで、深刻度「Critical(重大)」の脆弱性が修正された。Dolbyの音声デコーダに見つかったこの脆弱性は、ユーザーが何も操作しなくても攻撃を受ける「ゼロクリック攻撃」が可能だったという、かなり厄介なもの。
CVE-2025-54957とは
Dolby Digital Plus(DD+)Unified Decoder(UDC) に存在した脆弱性。影響を受けるバージョンはUDC v4.5〜v4.13。
技術的には「整数オーバーフロー」から「アウトオブバウンズライト(境界外書き込み)」に繋がる問題。DD+ビットストリーム内の「evolution data」を処理する際、パケットサイズの計算を誤り、割り当てられたバッファ領域を超えてメモリに書き込んでしまう。
この書き込みで関数ポインタなどの重要なデータ構造を上書きできるため、任意コード実行(RCE) に繋がる。
なぜ「ゼロクリック」なのか
通常のマルウェアは「怪しいファイルを開かない」という対策で防げる。しかしこの脆弱性は違う。
Androidは音声メッセージを受信すると、通知表示や文字起こしのためにバックグラウンドで自動的にデコード処理を行う。つまり:
- 攻撃者が細工したDD+音声ファイルを送信
- 被害者のAndroidが受信
- ユーザーが何もしなくても、システムが自動でファイルを解析
- 解析中に脆弱性が発動し、任意コード実行
ポケットにスマホを入れたまま、気づかないうちに乗っ取られる可能性があった。
攻撃経路
音声ファイルを送れる経路なら何でも使える。
- SMS / MMS - 電話番号さえ分かれば送信可能
- RCS(プラスメッセージなど) - リッチメディア対応
- メール - 添付ファイルとして
- チャットアプリ - 自動プレビュー機能があるものは危険
対策
セキュリティパッチレベル 2026-01-05 以降 にアップデートすれば修正される。
確認手順
- 設定 を開く
- デバイス情報(または「端末情報」)をタップ
- Androidセキュリティパッチレベル を確認
- 「2026年1月5日」以降になっていればOK
Pixelの場合
Pixelは2025年12月に先行パッチが配信済み。Google公式の端末なので対応が早い。
他メーカーの場合
Samsung、Xiaomi、OPPOなど各メーカーは、Googleの発表から数日〜数週間遅れて配信されることがある。「アップデートが利用可能」の通知が来たら、後回しにせずすぐ適用すること。
一時的な自衛策
パッチが来るまでの間、メッセージアプリの「メディア自動ダウンロード」をオフにすると多少のリスク軽減になる。ただし根本的な解決にはならないので、アップデートが最優先。
タイムライン
| 日時 | イベント |
|---|---|
| 2025年6月 | Google Project Zeroへ報告 |
| 2025年10月 | Dolbyがセキュリティアドバイザリを発行 |
| 2025年12月 | Pixel向け先行パッチ配信 |
| 2026年1月5日 | 全Android向けパッチ公開 |
まとめ
「怪しいファイルを開かなければ安全」という常識が通用しないゼロクリック脆弱性。今回はDolbyの音声デコーダが標的になった。
Androidユーザーは今すぐセキュリティパッチレベルを確認して、2026-01-05以降になっていなければアップデートを適用すること。