毎月出るセキュリティ更新を、自社の業務端末すべてに当て切れているだろうか。 2026年6月のAndroidセキュリティ情報(Android Security Bulletin)では、多数の脆弱性が修正された。うち1件(CVE-2025-48595)は、Googleにより限定的な標的型攻撃に悪用された可能性があると示されている。問題は、こうした更新を「毎月・全端末に・漏れなく」適用し続けられているか——つまり更新統制だ。

本記事では、2026年6月パッチの要点を一次情報で押さえたうえで、属人化しがちな月次更新を仕組み化し、端末・資産管理をシステムで回す考え方を整理する。

この記事の要点

  • 2026年6月のAndroid Security Bulletinでは多数の脆弱性が修正された。公式は総数を明示しておらず、要点は「自社端末のセキュリティパッチレベルが2026-06-05以降になっているか」を確認すること(パッチレベルは2026-06-01と2026-06-05の2段階。報道による件数集計は参考情報を参照)。
  • CVE-2025-48595(Android公式:フレームワーク/権限昇格/深刻度High・2026-06-01パッチレベル)は、限定的な標的型攻撃に悪用された可能性があるとされる。CVSSはCISA-ADP評価でv3.1の8.4。
  • 課題は個々のCVEより、毎月の更新を全端末に確実に適用する「統制」が回らないこと。
  • 更新統制・端末管理は、人手の運用からシステム(MDM・資産管理)による仕組み化へ。

2026年6月Androidパッチの要点

2026年6月のAndroid Security Bulletinでは、2026-06-01と2026-06-05の2段階で多数の脆弱性が修正された。公式Bulletinは脆弱性の総数を明示しておらず、媒体により集計に差がある(報道による件数は参考情報に記載)。総数の数字に振り回されるより、公式BulletinのCVE一覧と、自社端末のセキュリティパッチレベルの確認を優先したい。

項目内容
パッチレベル2026-06-01 / 2026-06-05 の2段階
限定的な標的型攻撃に悪用の可能性CVE-2025-48595(2026-06-01パッチレベル・深刻度High)
Qualcomm製の重大な脆弱性(例)CVE-2026-25276・CVE-2026-25277(Critical)

CVE-2025-48595は、Android公式情報ではフレームワークの権限昇格(EoP)・深刻度Highとされ、限定的な標的型攻撃に悪用された可能性があると示されている。同CVEは2026-06-01のパッチレベルに掲載されており、CVSSはAndroid公式やNVD自体の評価ではなく、CISA-ADPによるv3.1スコアが8.4(NVD上の併記)である点に注意したい。このほか、Qualcomm製コンポーネントの重大(Critical)な脆弱性として CVE-2026-25276・CVE-2026-25277(Android公式ではCriticalと記載。CVSS v3.1 Base Scoreは別体系であるQualcomm CNAの評価でいずれも8.8)などが含まれる。Bulletin掲載項目すべてに対応するには、自社端末のセキュリティパッチレベルが2026-06-05以降になっているかを確認する(実際の配信時期は端末メーカーにより異なる)。

補足:CVE番号の西暦は「採番された年」であり「修正された年」とは一致しない。そのため、2026年6月のパッチにCVE-2025-…とCVE-2026-…が混在するのは正常だ。

個々のCVEへの対応も重要だが、企業にとっての本質的な課題は別にある。「来月も再来月も、セキュリティ更新を全端末に確実に当て続けられるか」だ。

本当の課題は「月次更新が統制できていない」こと

スマートフォン1台なら、通知が来たら更新すればよい。しかし業務端末が数十〜数百台になると、話は変わる。

  • どの端末が・どのパッチレベルか、台帳が最新でない
  • 現場任せで、更新されていない端末が放置される
  • 私物端末(BYOD)が業務に使われ、更新状況を把握できない
  • 退職者・遊休端末が管理から漏れる

こうした「統制の穴」があると、緊急パッチが公開されても、当たっていない端末が攻撃の入口として残り続ける。月次パッチのたびに手作業で棚卸し・周知・確認をしていては、いずれ回らなくなる。

更新統制チェックリスト

自社の業務端末について、以下を確認したい。「いいえ」があれば、そこが統制の穴だ。

  • 業務で使う全端末(私物含む)の台帳が最新化されている
  • 各端末のOS・パッチレベルを把握できている
  • 緊急パッチを一定期間内に適用するルールがある
  • 更新状況を自動で収集・可視化できている
  • 未更新端末を検知し、是正を促せる
  • 退職者・遊休端末を確実に管理から外せている
  • 私物端末の業務利用ルール(更新要件)がある

これらを人手で回すのは限界がある。台帳・パッチレベル・更新状況を自動で集約し、可視化する仕組みがあれば、月次更新は「当たり前に回る」状態になる。

端末・資産管理を「仕組み化」する

更新統制を継続的に回すには、MDM(モバイルデバイス管理)や端末・資産管理の仕組み化が有効だ。手作業の棚卸しを、システムによる自動収集・可視化に置き換える。

  • MDMの活用:端末のOS・パッチレベルを自動把握し、ポリシー違反や未更新を検知する。MDMの考え方はMDM・BYOD端末管理(Intune)ガイドで整理している。
  • 資産管理のシステム化:端末・ソフトウェア・契約を一元管理し、台帳の最新化を自動化する。Excel・人手の棚卸しから脱却する。
  • 既存システムとの連携:人事・調達と連携し、入退社や調達のタイミングで端末を確実に登録・除却する。

自社の運用に合わせてこうした仕組みを構築する場合、業務システム開発として設計するのが近道だ。考え方は業務システム開発DX/システム開発の全体像、費用感は種類別のシステム開発費用が参考になる。なお、出荷時点で端末にバックドアが仕込まれるサプライチェーン型のリスク(調達ポリシー)についてはAndroidバックドア(Keenadu)の確認方法と対策で扱っている。

月次パッチ運用、人手で回し続けていませんか

GXOでは、端末・資産管理のシステム化やMDM導入、人事・調達システムとの連携まで、更新統制を仕組みにする支援を行っています。「台帳がExcelで最新化できていない」段階のご相談を歓迎します。

端末・資産管理の仕組み化を相談する → GXO お問い合わせ

※ 営業電話はしません | オンライン対応可 | 構想段階の相談だけでもOK

よくある質問(FAQ)

Q1. すぐにやるべきことは?

まず会社管理端末(およびMDM登録・同意済みの私物端末)について、該当のセキュリティパッチが配信されている端末から、パッチレベルを2026-06-05以降へ更新する(端末メーカーにより配信時期は異なる)。私物端末は利用規程・本人同意の範囲で対応する。並行して、全端末の台帳とパッチレベルを棚卸しし、未更新端末がないか確認する。

Q2. CVE-2025-48595はすでに悪用されている?

Android公式情報で、フレームワークの権限昇格(EoP・深刻度High)として、限定的な標的型攻撃に悪用された可能性が指摘されている脆弱性だ(CVSSはNVD自体の評価ではなく、CISA-ADPによるv3.1の8.4)。CVE-2025-48595は2026-06-01のパッチレベルに掲載されているため、この脆弱性への対応はパッチレベルが2026-06-01以降になっていることが条件となる(2026-06-05側のベンダー/SoC関連の脆弱性まで含めて網羅するには2026-06-05以降を確認する)。「すでに広範に悪用されている」という意味ではなく、限定的な標的型での悪用可能性とされている点に注意したい。

Q3. 私物端末(BYOD)はどう管理する?

業務利用を許可する場合は、更新要件を含む利用ルールを定め、MDM等で更新状況を把握できるようにする。把握できない私物端末の業務利用は、統制の穴になりやすい。なお、私物端末(BYOD)の管理には、個人情報や私的領域の取り扱い、労務上の同意といった論点があるため、MDM導入の前に利用規程の整備と本人同意の取得を行うことが望ましい。

Q4. MDMを入れれば十分?

MDMは更新状況の把握・是正に有効だが、台帳の最新化や入退社連携まで含めて「仕組み」にしないと運用が回らない。MDMと資産管理・人事/調達連携を組み合わせて設計するのが望ましい。

まとめ:パッチは「当てる」より「当て続けられる仕組み」を

2026年6月のAndroid Security Bulletinでは多数の脆弱性が修正され、うち1件(CVE-2025-48595)は限定的な標的型攻撃に悪用された可能性が指摘されている。だが本質的な課題は、毎月のセキュリティ更新を全端末に確実に当て続けられるかという更新統制にある。人手の運用には限界があり、MDMや端末・資産管理のシステム化で「当たり前に回る」状態をつくることが、継続的な防御につながる。

GXOは、端末・資産管理の仕組み化を、業務システム開発として設計・構築まで支援している。サービスの詳細は業務システム開発DX/システム開発の全体像セキュリティ支援をご覧いただきたい。

端末管理の棚卸しから、仕組み化まで相談しませんか

「何台あるかも正確に分からない」状態でも大丈夫です。現状把握から、MDM・資産管理・既存システム連携の設計まで、貴社の運用に合わせて整理します。

端末管理の現在地を相談する → GXO お問い合わせ

参考情報

  • Android Security Bulletin(2026年6月)公式:https://source.android.com/docs/security/bulletin/2026/2026-06-01 / CVE-2025-48595はフレームワークの権限昇格(EoP・深刻度High)で限定的な標的型攻撃に悪用された可能性。Qualcomm製コンポーネントのCVE-2026-25276・CVE-2026-25277はCritical。公式は脆弱性の総数を明示していない。
  • NVD CVE-2025-48595(NVD自体の評価は未付与、CISA-ADPのCVSS v3.1が8.4):https://nvd.nist.gov/vuln/detail/CVE-2025-48595
  • NVD CVE-2026-25276 / CVE-2026-25277(QualcommのCVSS v3.1 Base Score 8.8):https://nvd.nist.gov/vuln/detail/CVE-2026-25276 / https://nvd.nist.gov/vuln/detail/CVE-2026-25277
  • マイナビニュース「Androidに122件の脆弱性、1件は標的型攻撃に悪用の可能性」(2026年6月・報道ベースの総数122件/06-01:70件/06-05:52件/Critical 18件。公式は総数を明示していないため、総数は報道による集計である点に留意):https://news.mynavi.jp/techplus/article/20260603-4537001/

関連記事