この Android のセキュリティに関する公開情報には、Android デバイスに影響を及ぼすセキュリティの脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2026-03-05 以降では、以下のすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。
この公開情報の初回の公開から 48 時間以内に、対応するソースコードのパッチを Android オープンソース プロジェクト(AOSP)リポジトリにリリースします。その後、AOSP リンクを追加してこの公開情報を改訂します。
以下の問題のうち最も重大度の高いものは、システム コンポーネントで発見された重大なセキュリティの脆弱性です。追加の実行権限がなくても、リモートでコードが実行されるおそれがあります。この脆弱性を悪用するためにユーザーの操作は必要ありません。 重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合の影響に基づいています。プラットフォームやサービスでのリスク軽減策が、開発目的または不正な回避策により無効となっていると仮定しています。
Android セキュリティ プラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google Play プロテクトでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
Android パートナーには、情報公開の 1 か月前までにすべての問題が通知されます。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームの保護と Google Play プロテクトのようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らすものです。
- Android 上の多くの問題の悪用は、Android プラットフォームの最新版で機能が強化されるほど困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
- Android セキュリティ チームは、Google Play プロテクトによって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。
セキュリティ パッチレベル 2026-03-01 の脆弱性の詳細
以下に、パッチレベル 2026-03-01 に該当するセキュリティ脆弱性の各項目の詳細を示します。脆弱性は、影響を受けるコンポーネントごとに分類しています。下の表に、問題の内容について説明し、CVE ID、関連する参照先、脆弱性のタイプ、重大度、更新対象の AOSP バージョン(該当する場合)を示します。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載されている番号に、追加の参照へのリンクが設定されています。Android 10 以降を搭載したデバイスは、セキュリティ アップデートと Google Play システム アップデートを受信することがあります。
フレームワーク
フレームワークの最も重大な脆弱性により、追加の実行権限がなくても、ローカルで権限を昇格されるおそれがあります。この脆弱性を悪用するためにユーザーの操作は必要ありません。
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2026-0047 | A-465136263 | EoP | 重大 | 16-qpr2 |
| CVE-2025-32313 | A-399155883 | EoP | 高 | 14、15、16 |
| CVE-2025-48544 | A-415783046 | EoP | 高 | 14、15、16 |
| CVE-2025-48567 | A-377888957 | EoP | 高 | 14、15、16 |
| CVE-2025-48568 | A-322157041 | EoP | 高 | 14、15 |
| CVE-2025-48574 | A-428700812 | EoP | 高 | 14、15、16 |
| CVE-2025-48577 | A-413380719 | EoP | 高 | 14、15、16 |
| CVE-2025-48578 | A-418225717 | EoP | 高 | 14、15、16 |
| CVE-2025-48579 | A-417195606 | EoP | 高 | 14、15、16 |
| CVE-2025-48582 | A-369105011 | EoP | 高 | 14、15、16 |
| CVE-2025-48605 | A-395640609 | EoP | 高 | 14、15、16 |
| CVE-2025-48619 | A-414387646 | EoP | 高 | 14、15、16 |
| CVE-2025-48634 | A-406243581 | EoP | 高 | 14、15、16 |
| CVE-2025-48635 | A-446678690 | EoP | 高 | 14、15 |
| CVE-2025-48645 | A-443062265 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2025-48646 | A-457742426 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2025-48654 | A-442392902 | EoP | 高 | 16、16-qpr2 |
| CVE-2026-0007 | A-433251166 | EoP | 高 | 14、15、16 |
| CVE-2026-0008 | A-433252423 | EoP | 高 | 16 |
| CVE-2026-0010 | A-379695596 | EoP | 高 | 14、15、16 |
| CVE-2026-0011 | A-454062218 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0013 | A-447135012 | EoP | 高 | 14、15、16 |
| CVE-2026-0020 | A-453649815 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0023 | A-459461121 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0026 | A-321711213 | EoP | 高 | 14 |
| CVE-2026-0034 | A-428701593 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2025-48630 | A-455563813 | ID | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0012 | A-392614656 | ID | 高 | 14、15、16 |
| CVE-2026-0025 | A-433746973 | ID | 高 | 14、15、16、16-qpr2 |
| CVE-2025-48644 | A-449181366 | DoS | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0014 | A-443742082 | DoS | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0015 | A-445917646 | DoS | 高 | 14、15、16、16-qpr2 |
システム
フレームワークの最も重大な脆弱性により、追加の実行権限がなくても、リモートでコードが実行されるおそれがあります。この脆弱性を悪用するためにユーザーの操作は必要ありません。
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2026-0006 | A-423894847 | RCE | 重大 | 16 |
| CVE-2025-48631 | A-444671303 | DoS | 重大 | 14、15、16、16-qpr2 |
| CVE-2025-48602 | A-407562568 | EoP | 高 | 14、15、16 |
| CVE-2025-48641 | A-392699284 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2025-48650 | A-388530367 | EoP | 高 | 14、15、16 |
| CVE-2025-48653 | A-435737668 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0017 | A-444673089 | EoP | 高 | 16、16-qpr2 |
| CVE-2026-0021 | A-430047417 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0035 | A-418773439 | EoP | 高 | 14、15、16、16-qpr2 |
| CVE-2024-43766 | A-288144143 | ID | 高 | 14、15、16 |
| CVE-2025-48642 | A-455777515 | ID | 高 | 14、15、16、16-qpr2 |
| CVE-2025-64783 | A-483074175 | ID | 高 | 14、15、16、16-qpr2 |
| CVE-2025-64784 | A-483074618 | ID | 高 | 14、15、16、16-qpr2 |
| CVE-2025-64893 | A-483075215 | ID | 高 | 14、15、16、16-qpr2 |
| CVE-2026-0005 | A-366405211 | ID | 高 | 14、15、16 |
| CVE-2026-0024 | A-326211886 | ID | 高 | 14、15、16、16-qpr2 |
| CVE-2025-48585 | A-425360742 | DoS | 高 | 16 |
| CVE-2025-48587 | A-425360073 | DoS | 高 | 16 |
| CVE-2025-48609 | A-414388731 | DoS | 高 | 14、15、16 |
Google Play システム アップデート
プロジェクト Mainline のコンポーネントには次の問題が含まれています。
| サブコンポーネント | CVE |
|---|---|
| Documents UI | CVE-2026-0013 |
| MediaProvider | CVE-2025-48544、CVE-2025-48567、CVE-2025-48578、CVE-2025-48579、CVE-2025-48582 |
| メディア コーデック | CVE-2026-0006 |
| MediaProvider | CVE-2026-0024、CVE-2026-0035 |
| 権限コントローラ | CVE-2025-48653 |
| プロファイリング | CVE-2025-48585、CVE-2025-48587 |
セキュリティ パッチレベル 2026-03-05 の脆弱性の詳細
パッチレベル 2026-03-05 に該当するセキュリティ脆弱性の各項目について、以下で詳細を説明します。脆弱性は、影響を受けるコンポーネントごとに分類しています。下記の表に、問題の内容について説明し、CVE ID、関連する参照先、脆弱性のタイプ、重大度、更新対象の AOSP バージョン(該当する場合)を示します。問題の対処法として一般公開されている変更内容(AOSP の変更の一覧など)が参照可能な場合は、バグ ID の欄にその情報へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
カーネル コンポーネント
カーネルの最も重大な脆弱性により、システム実行権限がある場合に、ローカルで権限を昇格されるおそれがあります。この脆弱性を悪用するためにユーザーの操作は必要ありません。
| CVE | 参照 | タイプ | 重大度 | サブコンポーネント |
|---|---|---|---|---|
| CVE-2024-43859 | A-455892000 アップストリーム カーネル [2] |
EoP | 重大 | Flash-Friendly File System |
| CVE-2026-0037 | A-440584506 アップストリーム カーネル |
EoP | 重大 | 保護されたカーネルベースの仮想マシン |
| CVE-2026-0038 | A-459479964 アップストリーム カーネル [2] [3] [4] [5] [6] [7] |
EoP | 重大 | ハイパーバイザ |
| CVE-2025-38616 | A-440544812 アップストリーム カーネル [2] |
EoP | 高 | Transport Layer Security |
| CVE-2025-38618 | A-439253642 アップストリーム カーネル [2] [3] |
EoP | 高 | vsock |
| CVE-2025-39682 | A-440544511 アップストリーム カーネル [2] [3] |
EoP | 高 | Transport Layer Security |
| CVE-2025-39946 | A-446648770 アップストリーム カーネル [2] [3] |
EoP | 高 | Transport Layer Security |
| CVE-2026-0029 | A-443668075 アップストリーム カーネル [2] [3] |
EoP | 高 | 保護されたカーネルベースの仮想マシン |
| CVE-2026-0027 | A-456069704 アップストリーム カーネル [2] [3] |
EoP | 重大 | 保護されたカーネルベースの仮想マシン |
| CVE-2026-0028 | A-443123065 アップストリーム カーネル [2] [3] |
EoP | 重大 | pKVM |
| CVE-2026-0030 | A-441808375 アップストリーム カーネル [2] [3] |
EoP | 重大 | pKVM |
| CVE-2026-0031 | A-443072657 アップストリーム カーネル [2] [3] |
EoP | 重大 | pKVM |
| CVE-2025-39946 | A-432728472 アップストリーム カーネル [2] [3] |
EoP | 高 | TLS |
| CVE-2025-40266 | A-439862698 アップストリーム カーネル [2] [3] |
EoP | 高 | pKVM |
| CVE-2026-0032 | A-439996285 アップストリーム カーネル [2] |
EoP | 高 | pKVM |
Arm コンポーネント
この脆弱性は Arm コンポーネントに影響を与えます。詳細については Arm から直接入手できます。この問題の重大度の評価は、Arm から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-2879 |
A-427973176* | 高 | マリ |
Imagination Technologies コンポーネント
これらの脆弱性は Imagination Technologies コンポーネントに影響を与えます。詳細については Imagination Technologies から直接入手できます。これらの問題の重大度の評価は、Imagination Technologies から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-10865 |
A-449129642* | 高 | PowerVR-GPU | |
| CVE-2025-13952 |
A-464496427* | 高 | PowerVR-GPU | |
| CVE-2025-58407 |
A-449121737* | 高 | PowerVR-GPU | |
| CVE-2025-58408 |
A-429381685* | 高 | PowerVR-GPU | |
| CVE-2025-58409 |
A-440384860* | 高 | PowerVR-GPU | |
| CVE-2025-58411 |
A-449122377* | 高 | PowerVR-GPU | |
| CVE-2026-21735 |
A-450584982* | 高 | PowerVR-GPU |
MediaTek コンポーネント
これらの脆弱性は MediaTek コンポーネントに影響を与えます。詳細については MediaTek から直接入手できます。これらの問題の重大度の評価は、MediaTek から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-20795 |
A-457250114 M-ALPS10276761* |
高 | KeyInstall | |
| CVE-2026-20425 |
A-473379718 M-ALPS10320471* |
高 | display | |
| CVE-2026-20426 |
A-473321948 M-ALPS10320471* |
高 | display | |
| CVE-2026-20427 |
A-473385373 M-ALPS10320471* |
高 | display | |
| CVE-2026-20428 |
A-473385374 M-ALPS10320471* |
高 | display | |
| CVE-2026-20434 |
A-473385376 M-MOLY00782946* |
高 | モデム | |
| CVE-2025-20760 |
A-457246939 M-MOLY01676750* |
高 | モデム | |
| CVE-2025-20761 |
A-457250116 M-MOLY01311265* |
高 | モデム | |
| CVE-2025-20762 |
A-457246938 M-MOLY01685181* |
高 | モデム | |
| CVE-2025-20793 |
A-457250115 M-MOLY01430930* |
高 | モデム | |
| CVE-2025-20794 |
A-457251533 M-MOLY01689259* M-MOLY01586470* |
高 | モデム | |
| CVE-2026-20401 |
A-464955064 M-MOLY01738310* |
高 | モデム | |
| CVE-2026-20402 |
A-464955066 M-MOLY00693083* |
高 | モデム | |
| CVE-2026-20403 |
A-464955070 M-MOLY01689259* M-MOLY01689254* |
高 | モデム | |
| CVE-2026-20404 |
A-464812757 M-MOLY01689248* |
高 | モデム | |
| CVE-2026-20405 |
A-464956288 M-MOLY01688495* |
高 | モデム | |
| CVE-2026-20406 |
A-464956289 M-MOLY01726634* |
高 | モデム | |
| CVE-2026-20420 |
A-464812755 M-MOLY01738313* |
高 | モデム | |
| CVE-2026-20421 |
A-464956284 M-MOLY01738293* |
高 | モデム | |
| CVE-2026-20422 |
A-464955069 M-MOLY00827332* |
高 | モデム |
その他の OEM
この脆弱性はその他の OEM コンポーネントに影響を与えます。詳細についてはその他の OEM から直接入手できます。この問題の重大度の評価は、その他の OEM から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-48613 |
A-416491056* | 高 | VBMeta |
Unisoc コンポーネント
これらの脆弱性は Unisoc コンポーネントに影響を与えます。詳細については Unisoc から直接入手できます。これらの問題の重大度の評価は、Unisoc から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-61612 |
A-472608390 U-3145406* |
高 | モデム | |
| CVE-2025-61613 |
A-472608389 U-3145409* |
高 | モデム | |
| CVE-2025-61614 |
A-472596020 U-3145411* |
高 | モデム | |
| CVE-2025-61615 |
A-472596019 U-3145413* |
高 | モデム | |
| CVE-2025-61616 |
A-472596017 U-3145415* |
高 | モデム | |
| CVE-2025-69278 |
A-472608387 U-3145418* |
高 | モデム | |
| CVE-2025-69279 |
A-472596366 U-3145421* |
高 | モデム |
Qualcomm コンポーネント
Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、該当する Qualcomm のセキュリティに関する公開情報やセキュリティ アラートをご覧ください。この一連の問題の重大度は Qualcomm から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-47388 |
A-449733645 QC-CR#4207075 |
高 | セキュリティ | |
| CVE-2025-47394 |
A-449732573 QC-CR#4202921 |
高 | カーネル | |
| CVE-2025-47396 |
A-449733129 QC-CR#4204623 |
高 | ディスプレイ | |
| CVE-2025-47397 |
A-457747735 QC-CR#4205207 [2] |
高 | ディスプレイ | |
| CVE-2025-47398 |
A-457746802 QC-CR#4229974 [2] |
高 | ディスプレイ | |
| CVE-2025-59600 |
A-465462602 QC-CR#4249775 [2] |
高 | ディスプレイ | |
| CVE-2026-21385 |
A-478214401 QC-CR#4387106 [2] |
高 | ディスプレイ |
Qualcomm クローズドソース コンポーネント
Qualcomm クローズドソース コンポーネントに影響する脆弱性は次のとおりです。詳細については、該当する Qualcomm のセキュリティに関する公開情報やセキュリティ アラートをご覧ください。これらの問題の重大度の評価は、Qualcomm から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-47339 |
A-430042394* | 高 | クローズドソース コンポーネント | |
| CVE-2025-47346 |
A-430043562* | 高 | クローズドソース コンポーネント | |
| CVE-2025-47348 |
A-430043784* | 高 | クローズドソース コンポーネント | |
| CVE-2025-47366 |
A-436259280* | 高 | クローズドソース コンポーネント | |
| CVE-2025-47378 |
A-442620485* | 高 | クローズドソース コンポーネント | |
| CVE-2025-47385 |
A-442621008* | 高 | クローズドソース コンポーネント | |
| CVE-2025-47395 |
A-449732115* | 高 | クローズドソース コンポーネント | |
| CVE-2025-47402 |
A-457748468* | 高 | クローズド ソース コンポーネント |
一般的な質問と回答
上記の公開情報に対する一般的な質問とその回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。
- セキュリティ パッチレベル 2026-03-01 以降では、セキュリティ パッチレベル 2026-03-01 に関連するすべての問題に対処しています。
- セキュリティ パッチレベル 2026-03-05 以降では、セキュリティ パッチレベル 2026-03-05 以前のすべてのパッチレベルに関連するすべての問題に対処しています。
デバイス メーカーは、こうしたアップデートを組み込む場合、パッチレベル文字列を以下のとおり設定する必要があります。
- [ro.build.version.security_patch]:[2026-03-01]
- [ro.build.version.security_patch]:[2026-03-05]
Android 10 以降を搭載した一部のデバイスでは、Google Play システム アップデートに、セキュリティ パッチレベル 2026-03-01 と一致する日付文字列が含まれます。セキュリティ アップデートのインストール方法について詳しくは、こちらの記事をご覧ください。
2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?
この公開情報では、2 つのセキュリティ パッチレベルを掲載しています。これは、すべての Android デバイスにまたがる同様の脆弱性をひとまとめにして、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。
- 2026-03-01 のセキュリティ パッチレベルを使用するデバイスには、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を含める必要があります。
- セキュリティ パッチレベル 2026-03-05 以降を使用するデバイスでは、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。
パートナーは、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。
3. 「タイプ」列の項目はどういう意味ですか?
脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。
| 略語 | 定義 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 権限昇格 |
| ID | 情報開示 |
| DoS | サービス拒否攻撃 |
| なし | 該当する分類なし |
4. 「参照」列の項目はどういう意味ですか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | Qualcomm の参照番号 |
| M- | MediaTek の参照番号 |
| N- | NVIDIA の参照番号 |
| B- | Broadcom の参照番号 |
| U- | UNISOC の参照番号 |
5. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?
公開されていない問題には、対応する参照 ID の横に「*」を付けています。そうした問題に対するアップデートは、通常、Google デベロッパー サイトから入手できる Google Pixel デバイス用最新バイナリ ドライバに含まれています。
6. セキュリティの脆弱性が、この公開情報とデバイスやパートナーのセキュリティに関する公開情報(Pixel のセキュリティに関する公開情報など)に分けられているのはなぜですか?
Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、このセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、デバイスやパートナーのセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処は必須ではありません。また、Android デバイスやチップセットのメーカー(Google、Huawei、LGE、Motorola、Nokia、Samsung など)からも、各社製品に固有のセキュリティの脆弱性に関する詳細情報が公開される場合があります。
バージョン
| バージョン | 日付 | メモ |
|---|---|---|
| 1.0 | 2026 年 3 月 2 日 | 情報公開 |