チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「会社支給のAndroidスマホ、Qualcommのチップが入ってるはずだけど大丈夫?」
「ゼロデイがCISAのカタログに追加されたって、どのくらい深刻な話なの?」
チップスボス!
QualcommのチップにAndroidのゼロデイが見つかって、もう攻撃に使われてるって話でしゅ!
235種類のチップセットが影響って…ほぼ全部じゃないでしゅか!?
ボスCVSSは7.8だが、標的型攻撃で実際に悪用されている。
CISAのKEVカタログにも登録済みだ。
数字以上に警戒すべき脆弱性だな。
Qualcommのグラフィックスサブコンポーネントに存在する脆弱性CVE-2026-21385が、標的型攻撃で実際に悪用されていることをGoogleが確認しました。
影響を受けるチップセットは235種類に及び、Androidデバイスを業務利用している企業は早急なパッチ適用が求められます。
自社のAndroidデバイスが最新パッチを適用済みか、今すぐ確認してください。
この脆弱性は、メモリ破損を引き起こす整数オーバーフローの問題です。
CVE-2026-21385は、Qualcommのグラフィックスサブコンポーネントにおける整数オーバーフロー(Integer Overflow or Wraparound)脆弱性です。
ローカルの攻撃者がこの脆弱性を悪用すると、メモリ破損を発生させ、端末の制御権を奪取できる可能性があります。
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2026-21385 |
| CVSSスコア | 7.8(High) |
| 脆弱性の種類 | 整数オーバーフロー → メモリ破損 |
| 影響チップセット数 | 235種類 |
| CISA KEV登録日 | 2026年3月3日 |
| 修正パッチ | Androidセキュリティパッチレベル 2026-03-05 |
Googleは「限定的な標的型攻撃で悪用されている兆候がある」と明記しており、特定の組織や個人を狙ったスパイ活動に使われている可能性が指摘されています。
Google Android Securityチームが2025年12月18日に発見し、Qualcommは2026年2月2日に顧客へ通知しました。
チップス「限定的」ってことは、まだ大規模じゃないから大丈夫…ってわけじゃないでしゅよね?
ボスむしろ逆だ。
「限定的」とは高度な攻撃者が特定のターゲットだけに使っているという意味。
PoCが出回れば一気に大規模化する。先手を打つべきだ。
パッチは既に提供されていますが、Androidはメーカーやキャリアを経由して配信されるため、端末によって適用タイミングにばらつきがあります。
まず全社のAndroidデバイスのセキュリティパッチレベルを確認してください。
「設定 → デバイス情報 → Androidセキュリティパッチレベル」が「2026-03-05」以降になっていれば修正済みです。
チップスうちの情シス、まだMDM入れてないでしゅ…。
社員のスマホが今どのパッチレベルか、正直把握できてないでしゅ。
ボスそれは由々しき問題だ。
MDMなしでモバイルデバイスを管理している時点で、すでにリスクを抱えている。
今回の件をきっかけに、導入を進めろ。
CVE-2026-21385は、235種類のQualcommチップセットに影響し、標的型攻撃で実際に悪用されているゼロデイ脆弱性です。
パッチは2026年3月のAndroidアップデートで提供済みですが、メーカーやキャリアの配信タイミングにより未適用の端末が残っている可能性があります。
MDMを活用した一括確認と、古い端末のリプレイスを含めた対応を進めてください。
