Android 2026年4月セキュリティ更新｜Critical脆弱性CVE-2026-0049の影響と企業の対応

結論：Android 端末のセキュリティパッチレベルを「2026-04-05」以上に更新してください

2026年4月7日、Google は Android のセキュリティ情報（Android Security Bulletin）2026年4月版を公開した。今回の更新では Critical を含む計44件の脆弱性 が修正されており、中でも CVE-2026-0049 は Android Framework に存在する深刻な脆弱性だ。

CVE-2026-0049 は、追加の実行権限なしにローカルでサービス拒否（DoS）を引き起こす脆弱性であり、攻撃者が端末を使用不能にできる。企業が管理する業務用 Android 端末は、速やかにセキュリティパッチの適用を完了する必要がある。

CVE-2026-0049 の概要

項目	内容
CVE番号	CVE-2026-0049
深刻度	Critical
影響コンポーネント	Android Framework
脆弱性の種類	ローカルにおけるサービス拒否（DoS）
攻撃条件	追加の実行権限が不要
ユーザー操作	不要
修正パッチレベル	2026-04-01 以上

Framework の脆弱性が意味するもの

Android Framework は、アプリケーションが動作する基盤そのものだ。この層に脆弱性があると、特定のアプリだけでなく 端末全体の動作に影響 が及ぶ。

CVE-2026-0049 では、攻撃者が特別に細工したデータを Android Framework に送ることで、端末が応答不能になる（DoS）。業務で Android 端末を使用している場合、端末が突然フリーズし、再起動するまで業務が止まるというリスクがある。

特に危険なのは、この攻撃に追加の権限が不要という点だ。悪意あるアプリをインストールさせる必要すらなく、特定の条件下で攻撃が成立する。

2026年4月パッチで修正された脆弱性の全体像

今回のセキュリティ更新で修正された脆弱性は以下の通りだ。

パッチレベル	コンポーネント	修正件数	最高深刻度
2026-04-01	Android Framework	8件	Critical
2026-04-01	System	12件	High
2026-04-05	Kernel	6件	High
2026-04-05	Qualcomm components	10件	High
2026-04-05	MediaTek components	5件	High
2026-04-05	その他	3件	Medium
合計	44件	Critical

注意： パッチレベル「2026-04-01」には Framework と System の修正のみが含まれる。Kernel やチップセットベンダーの修正を含む完全なパッチは「2026-04-05」だ。可能な限り 2026-04-05 以上 のパッチレベルを適用することを推奨する。

影響範囲：Android バージョン別の対応状況

Android バージョン	サポート状況	2026年4月パッチ提供
Android 16	サポート中	提供済み
Android 15	サポート中	提供済み
Android 14	サポート中	提供済み
Android 13	サポート中	提供済み
Android 12 / 12L	サポート終了	提供なし
Android 11 以前	サポート終了	提供なし

Android 12 以前を使用している端末は、セキュリティパッチが提供されないため、脆弱性が修正されない。 業務用端末で Android 12 以前を使用している場合は、端末の買い替えまたは OS のアップグレードを検討すべきだ。

業務用Android端末のセキュリティ管理、属人的になっていませんか？

MDMの導入からパッチポリシーの設計まで、モバイルセキュリティを一貫して支援しています。

モバイルセキュリティの無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

MDM 管理者の対応手順

企業が管理する Android 端末は、MDM（Mobile Device Management）を通じて一括でパッチを適用できる。以下の手順で対応してほしい。

ステップ1：パッチポリシーの設定

MDM コンソールでセキュリティパッチの適用ポリシーを設定する。

最低パッチレベルを「2026-04-05」に設定
猶予期間を設定（推奨：7日以内）
猶予期間超過後のアクションを定義（通知→アクセス制限→強制更新）

主要MDMでの設定箇所：

MDM製品	設定パス
Microsoft Intune	デバイスコンプライアンス → Android Enterprise → システムセキュリティ → 最低セキュリティパッチレベル
VMware Workspace ONE	デバイス → プロファイル → Android → 制限事項 → セキュリティ
Google Endpoint Management	デバイス → モバイルの設定 → ユニバーサル → 全般
CLOMO MDM	デバイス管理 → プロファイル → Android → コンプライアンスポリシー

ステップ2：パッチの配布

Google Pixel 端末：Google から OTA（Over The Air）で直接配布される
Samsung 端末：Samsung の Knox E-FOTA を利用して企業配布が可能
その他メーカー：各メーカーの配布スケジュールに依存（通常、Pixel から1〜4週間遅れ）

ステップ3：適用状況の確認

MDM コンソールで以下を確認する。

[ ] パッチレベル「2026-04-05」以上の端末の割合
[ ] 未適用端末の一覧と未適用理由（端末オフライン、ストレージ不足等）
[ ] 猶予期間を超過している端末への対応状況

BYOD（個人端末）への対応

会社支給端末と異なり、BYOD 端末はMDMでの強制アップデートが難しい。以下の段階的なアプローチを推奨する。

フェーズ1：通知（即日）

全従業員にセキュリティ更新の必要性をメールまたはチャットで通知
更新手順を明記（「設定」→「セキュリティ」→「セキュリティアップデート」→「更新を確認」）
更新期限を明記（推奨：通知から7日以内）

フェーズ2：期限設定（7日後）

未更新端末のユーザーに個別リマインドを送信
更新期限を再度通知し、期限後のアクセス制限を予告

フェーズ3：アクセス制限（14日後）

セキュリティパッチレベルが基準を満たさない端末からの社内システムへのアクセスをブロック
条件付きアクセスポリシー（Azure AD / Google Workspace）で自動制御

重要： BYOD 端末へのアクセス制限は、事前に就業規則またはBYODポリシーに明記しておく必要がある。ポリシーが未整備の場合は、今回を機に策定することを強く推奨する。

企業のモバイルセキュリティベストプラクティス

今回のパッチ対応を「単発の作業」で終わらせず、以下のベストプラクティスを継続的に実施することが重要だ。

1. 毎月のパッチサイクルを運用に組み込む

Google は毎月第1月曜日に Android セキュリティ情報を公開する。この日を起点として、以下のサイクルを回す。

第1週：パッチ内容の確認と影響度の評価
第2週：テスト端末でのパッチ検証
第3週：全端末への配布開始
第4週：未適用端末のフォローアップ

2. サポート終了端末の計画的な入れ替え

Android 12 以前の端末はセキュリティパッチが提供されない。資産台帳で各端末のOSバージョンを把握し、サポート終了端末は計画的に入れ替える。

3. ゼロトラストの考え方をモバイルにも適用

「社内ネットワークに接続していれば安全」という前提を捨て、端末ごとにセキュリティ状態を検証する。

端末のセキュリティパッチレベルが基準を満たしているか
端末がroot化 / Jailbreak されていないか
端末に不正なアプリがインストールされていないか

まとめ

項目	ポイント
最重要脆弱性	CVE-2026-0049（Critical、Android Framework、ローカルDoS）
修正件数	計44件（Critical含む）
推奨パッチレベル	2026-04-05 以上
サポート対象OS	Android 13〜16（Android 12以前はパッチ提供なし）
管理者の対応	MDMでパッチポリシー設定 → 配布 → 適用確認
BYOD対応	通知 → 期限設定 → アクセス制限の3段階

Android のセキュリティパッチは毎月リリースされるが、企業では「適用が遅れがち」になりやすい。CVE-2026-0049 のような Critical 脆弱性が含まれる月は特に、パッチ適用の優先度を上げて迅速に対応してほしい。

よくある質問（FAQ）

Q1. セキュリティパッチレベルはどこで確認できますか？

「設定」→「端末情報」→「Androidバージョン」→「セキュリティパッチレベル」 で確認できます。「2026-04-01」または「2026-04-05」と表示されていれば、今回のパッチが適用済みです。

Q2. Pixel 以外の端末ではいつパッチが提供されますか？

メーカーにより異なります。Samsung は通常 Pixel から1〜2週間後、その他メーカーは2〜4週間後が目安です。Samsung は Samsung Security Updates で提供スケジュールを公開しています。パッチが未提供の端末については、提供開始後速やかに適用する計画を事前に立てておいてください。

Q3. MDM を導入していない場合、どうすればよいですか？

MDM未導入の場合でも、以下の対応は可能です。（1）全従業員にメールで更新を依頼する。（2）Google Workspace の「エンドポイント管理」（無料の基本管理機能）を有効化し、端末のパッチレベルを確認する。（3）今回を機にMDM導入を検討する（IT導入補助金の活用も可能）。

Q4. Android 12 の端末を業務で使い続けるリスクはどの程度ですか？

Android 12 はセキュリティパッチの提供が終了しているため、今後発見される脆弱性が修正されない状態が続きます。業務データを扱う端末として使用し続けることは推奨しません。端末の買い替えが困難な場合は、最低限、社内システムへのアクセスを制限し、業務データを端末に保存しない運用を徹底してください。

参考情報

Google Android Security Bulletin — April 2026（2026年4月7日）
NIST National Vulnerability Database「CVE-2026-0049」
Google Pixel セキュリティアップデート情報（2026年4月）
Samsung Security Updates（2026年4月）

モバイル端末のセキュリティ管理、仕組み化しませんか？

「毎月のパッチ適用が追いつかない」「BYODのルールが曖昧」「MDMを導入したいが何から始めればいいか分からない」——そんな課題をお持ちなら、現状の棚卸しから始めましょう。中小企業のモバイルセキュリティを一貫して支援しています。