サムスン、Galaxyユーザーの大半に緊急アップデートを配信（Forbes JAPAN）

サムスンは、Galaxyスマートフォンへの攻撃が進行中であると突如警告した。サムスンは9月のセキュリティアップデートを改訂し、適用対象のすべての端末に修正を配信するとしている。脅威はAndroid 13以降を実行する端末に影響する。 脅威CVE-2025-21043は、先月に指摘されアップルのiPhoneに影響したCVE-2025-55177と同様に、WhatsAppにより報告された。サムスンは「本件の攻撃が実際に存在しているとの通知を受けました」と述べている。 ■Galaxyシリーズに影響、iPhone・Windows・macOSは影響ナシ 今回報告されたゼロデイ脆弱性は、Galaxyスマートフォンに搭載されている「libimagecodec.quram」というサードパーティー製画像解析ライブラリーの不具合に起因する。WhatsAppはこの欠陥を発見し報告したが、脆弱なのはアプリ本体ではなく、Galaxy端末側のライブラリーである（同じライブラリーを利用していない限り、他社Android端末は対象外）。したがって、iPhone版、またWindowsやmacOS上で利用できるデスクトップ版WhatsAppには影響しない。 どのような脆弱性なのかというと、libimagecodec.quramのメモリー関連の脆弱性（メモリー管理の不具合）により、攻撃者が遠隔から端末上で悪意あるコードを実行できる可能性が生じる。他のメッセンジャーにも影響するのか、WhatsAppに限られるのかはまだ不明だ。しかし30億人のユーザーを抱えるWhatsAppは、ほぼすべてのGalaxy端末にインストールされており、広大な攻撃対象を提供している。 ●攻撃の主戦場はモバイルへ Zimperiumのブライアン・ソーントンは、このゼロデイ（0-day。未修正のまま悪用された脆弱性）について「攻撃者が侵入経路としてどれほど迅速にモバイルへとシフトしているかを如実に示しています。今回のケースでは、クローズドソースの画像処理ライブラリーが、サムスン端末およびそれに依存するアプリ全体に広範なリスクを生み出しました」と語った。 サムスンによれば、リスクは「libimagecodec.quramにおける「境界外書き込み」によるものだ。これはサードパーティ製の画像処理ソフトウェアで、過去にもグーグルのProject Zeroがセキュリティ上の関心を示していた。脅威は米国時間8月13日に開示され、Android 13、14、15、16に影響する。 ■サムスンおよびGalaxyシリーズの課題 Black Duckのニヴェディタ・ムルティは「サムスンとWhatsAppの双方がこの問題に対処するパッチをリリースしました。この脆弱性は、ユーザーの端末および保存データへの不正アクセスを得るために悪用され得ます」と述べている。 当然ながら、この脆弱性の深刻度は「緊急（critical）」と評価されている。残念ながらサムスンの課題は、修正の適用が急務である一方で、ユーザーは順番を待たねばならない点にある。PixelやiPhoneの「everyone, everywhere」（誰でも、何処でも）という一斉配信と違い、Galaxyのロールアウトは機種、地域、キャリアごとで、話はそれほど単純ではない。 同種のゼロデイがあることを踏まえると、これは、すべてのiPhoneに即座にパッチを適用できるアップルの体制と比べて見劣りする。日本時間9月16日には「iOS 26」が世界中のiPhoneに配信される一方で、多くのGalaxy所有者は「One UI 8」を長く待つことになる。 ■可能なかぎり早くアップデートを 端末がサムスンの月次アップデートスケジュールに載っているかぎり、修正は順次届く。可能なかぎり早くアップデートをインストールし、端末を再起動するべきだ。