GoogleがAndroidのゼロデイ脆弱性を修正セルビア当局による悪用が発覚

Googleは2025年3月のセキュリティアップデートで、標的型攻撃に悪用された2つのゼロデイ脆弱性を含む43件の脆弱性を修正しました。特に、CVE-2024-50302はセルビア当局が押収デバイスのロック解除に利用したことが判明。イスラエルのCellebriteが開発したエクスプロイトチェーンの一部で、アムネスティ・インターナショナルが分析の過程で発見しました。

さらに、Unicodeの正規化の誤処理を突いたCVE-2024-43093なども修正され、リモートコード実行を含む重大な脆弱性が対策されました。Pixelには即時適用されるものの、他のデバイスはメーカーごとのテストが必要なため、配信が遅れる可能性があります。なお、過去にもセルビア政府はAndroidのゼロデイを悪用し、スパイウェア攻撃を行っていたことが明らかになっています。

Googleが修正したAndroidのゼロデイ脆弱性とは
セルビア当局が悪用したエクスプロイトの仕組み
ゼロデイ脆弱性の修正とAndroidユーザーが取るべき対策

Googleが修正したAndroidのゼロデイ脆弱性とは

Googleは2025年3月のセキュリティアップデートで、Androidのゼロデイ脆弱性を含む43件の脆弱性を修正しました。その中でも特に注目されるのが、CVE-2024-50302とCVE-2024-43093の2件です。CVE-2024-50302は、Linuxカーネルのヒューマンインターフェースデバイス用ドライバーに存在する情報漏洩の脆弱性で、セルビア当局が押収したデバイスのロック解除に利用したと報告されています。

一方、CVE-2024-43093はAndroidフレームワークに関する特権昇格の脆弱性で、攻撃者がUnicodeの正規化の誤処理を悪用し、通常の制限を回避して機密ディレクトリへアクセスできる可能性がありました。これらの脆弱性は、イスラエルのCellebriteが開発したエクスプロイトチェーンの一部としても利用されており、アムネスティ・インターナショナルのセキュリティラボによる分析でその実態が明らかになりました。

Googleはこれらの脆弱性の存在を事前に認識しており、1月18日にOEMパートナーへ修正プログラムを提供。今月のアップデートでは、さらに11件のリモートコード実行脆弱性を含む広範な修正が実施されました。セキュリティレベルは「2025-03-01」と「2025-03-05」の2段階で展開され、Pixel端末には即時適用されるものの、他のメーカーのデバイスでは配信が遅れる可能性があります。

セルビア当局が悪用したエクスプロイトの仕組み

CVE-2024-50302を含むエクスプロイトチェーンは、デジタルフォレンジック企業Cellebriteによって開発されました。この脆弱性は、押収されたデバイスのロックを解除するためにセルビア当局によって使用されたと報告されています。特に、先月パッチが適用されたUSB Video Classのゼロデイ（CVE-2024-53104）や、ALSA USBサウンドドライバーの脆弱性と組み合わせることで、より高度な攻撃が可能になっていました。

この手法は、デバイスに物理的にアクセスできる状況で特に効果を発揮します。Cellebriteのツールは、USB経由で脆弱性を突くことで、通常のパスワード保護を回避し、暗号化されたデータの一部にアクセスできる可能性があるとされています。このようなゼロデイ攻撃は、法執行機関だけでなく、悪意のある攻撃者による不正アクセスの手段としても利用される危険性があります。

アムネスティ・インターナショナルの調査によれば、セルビア当局はこのエクスプロイトを使用し、特定のデバイスのロック解除を試みたとのことです。過去には、政府機関によるゼロデイの悪用が問題視された事例が複数存在し、今回の件もその一環と見られています。Googleは、今回の修正でこの攻撃手法を封じることに成功したとしていますが、今後も新たなゼロデイが発見される可能性は否定できません。

ゼロデイ脆弱性の修正とAndroidユーザーが取るべき対策

Googleの3月アップデートにより、CVE-2024-50302やCVE-2024-43093を含む複数のゼロデイ脆弱性が修正されました。

しかし、これらのパッチがすべてのAndroidデバイスに即座に適用されるわけではありません。Pixelシリーズではすぐにアップデートが提供されますが、他のメーカーの端末では、独自のテストや最適化のために配信が遅れることがあります。そのため、ユーザーは自分の端末のアップデート状況を定期的に確認することが重要です。

また、ゼロデイ攻撃のリスクを最小限に抑えるために、公式ストア以外のアプリをインストールしない、USB接続時に不審なデバイスを使用しない、定期的に端末のセキュリティ設定を見直すなどの対策が推奨されます。特に、今回のように物理的な接続を利用した攻撃が行われたことを考えると、信頼できない端末と接続しないことがリスク軽減につながります。

また、過去の事例からも、政府機関が特定の対象に対してゼロデイを悪用するケースがあることが分かっています。今回のような事例を踏まえ、ユーザーは単にアップデートを適用するだけでなく、自身のプライバシーを守るための意識を持つことが求められます。Googleの迅速な対応によりリスクは軽減されましたが、新たな脆弱性が発見されるたびに、適切な対応を取ることが重要です。

Source：BleepingComputer