AndroidでCriticalの脆弱性が公表された場合、理論上の問題ではなく短期間で悪用が現実化する前提で動く必要があります。リモートコード実行や権限昇格が成立すると、端末の乗っ取りや業務データの窃取、認証情報の奪取につながります。特にAndroidは機種・キャリアでパッチ配信時期がずれ、「修正はあるが未配信」の空白期間が生じやすい点が運用上のリスクです。
そのため情シスは、影響範囲を端末単体に閉じず、メール・VPN・クラウド・認証アプリなど“社内アクセスの入口”として評価し直す必要があります。端末侵害がSSOや取引先連絡のなりすましへ波及するケースも想定しておきます。
重大脆弱性は、画像・動画などのメディア処理やBluetooth/Wi-Fi等のコンポーネントを経由し、ユーザーの操作が少ない形で侵入が成立し得ます。日常的にメッセージや添付ファイルを扱う業務端末ほど攻撃面が広がります。さらに単体の欠陥でも、複数を連鎖させて権限昇格から防御機構回避へ至る「チェーン攻撃」が現実的です。
侵害後は端末内データだけでなく、SMSや認証アプリ、メール、ブラウザ保存情報、セッショントークンが狙われます。結果として他サービスへの不正ログインや、社内・取引先へのなりすまし連絡に発展するため、端末は“個人資産”ではなく“認証基盤の一部”として扱うべきです。
最優先はOS更新とセキュリティパッチ適用状況の確認です。「最新です」表示だけでなく、セキュリティパッチレベルの日付を基準に棚卸しします。企業では従業員任せにせず、MDMで端末のOS/パッチレベルを可視化し、最低要件を満たさない端末は段階的に社内リソースへのアクセス制限をかけます。
また更新適用が確定するまで再起動が必要な場合があるため、適用完了条件も運用ルールに含めます。配信遅延が想定される機種群は事前に把握し、重要部門はサポート期間が明確な端末へ統一するなど、調達ポリシーも合わせて見直します。
サポート終了や配信遅延で即時更新できない場合は、攻撃面を減らす暫定策を同時に実施します。提供元不明アプリの禁止、不要アプリ削除、主要アプリやGoogle Play関連の更新徹底、Bluetooth/Wi-Fi/NFCの常時オン運用見直し、不審リンクや添付の注意喚起を行います。加えて、フィッシング耐性の高い認証方式(例:FIDO2等)への移行や、端末準拠に応じた条件付きアクセスで被害拡大を抑えます。
セキュリティパッチ提供が停止している端末、業務アカウントやVPNを利用する端末、二要素認証の受信端末は更改優先度を上げます。パッチ適用だけに依存せず、MDM統制、ログ監視、ゼロトラスト前提のアクセス制御をセットで整備することが、重大脆弱性の常態化に耐える実務的な対策です。
