Androidにリモートコード実行リスク Googleが5月更新を公開：セキュリティニュースアラート

Googleは2026年5月のセキュリティ情報を公表し、無線ADB機能の深刻な脆弱性の存在を明らかにした。対象はAndroid 14以降で、近距離から認証を回避しシェル権限でコードを実行される恐れがある。

[ITmedia エンタープライズ編集部，ITmedia]

　Googleは2026年5月4日、「Android」に関する脆弱（ぜいじゃく）性の情報をまとめた5月のセキュリティ情報を公表した。無線ADB機能に深刻な欠陥が発見されており、近距離通信環境下で第三者がシェル権限でコードを実行する恐れがある。Android 14、15、16、16-qpr2が対象に含まれる。

Android 14〜16に影響、リモートコード実行リスク判明

　問題箇所は「adbd」関連機能内の認証処理とされる。対象となる脆弱性はCVE-2026-0073と識別されている。認証確認処理内の論理欠陥が原因となり、無線ADB相互認証を回避可能な状態だった。米国国立標準技術研究所（NIST）が管理している脆弱性情報データベース（NVD）情報では近接範囲内から攻撃可能な欠陥と説明されている。共通脆弱性評価システム（CVSS）v3.1のスコアは8.8で、深刻度は重要（High）と評価されている。

　GoogleはCVE-2026-0073について、追加権限なしでリモートコード実行へ至る恐れがある点を指摘した。攻撃成功時、端末操作や情報取得へ悪用される可能性がある。無線ADB機能は開発用途で利用例が多い機能であり、認証回避が成立した場合には不正利用へ悪用される恐れがある。

　Googleは公開後48時間以内に、Androidオープンソースプロジェクト（AOSP）へ修正コードを反映予定である点も示した。Android関連企業へは公開1カ月前時点で問題通知済みと説明した。

　最新のAndroidは多くの脆弱性悪用を困難にする保護機能が導入済みであり、旧版環境よりも安全性向上効果が高い。Google Playプロテクト機能も有効化されており、有害の疑いがあるアプリ検出時には警告表示を実施していると説明した。

　Androidユーザーは設定画面内「セキュリティパッチレベル」確認が有効となる。2026-05-01以降の表示であれば、修正済み状態となる。また無線ADB機能停止措置でも本脆弱性への有効な防御策となる。