Google は 2026 年 1 月 5 日(現地時間)、Android デバイス向けの月例セキュリティ情報を公開しました。
今回の公開情報によると、リストアップされている修正項目自体は少ないものの、Android ユーザーにとって非常に深刻な脆弱性となる Dolby コンポーネントの修正が含まれています。
Dolby コンポーネントに「重大」な脆弱性
この脆弱性は、Dolby Digital Plus のビットストリーム処理における整数オーバーフローに起因するもので、悪意を持って作成された音声ファイルを処理させ、メモリの許容範囲外への書き込み(Out-of-bounds write)を許してしまう可能性があります。
これにより、攻撃者が任意のコードを実行できる恐れがあります。
この脆弱性が特に Android ユーザーにとって脅威となるのは、Android のシステム仕様上、ユーザーがファイルを「開く」操作をしなくても攻撃が成立してしまう可能性がある点です。
ユーザー操作なしで攻撃される「0クリック」のリスク
最近の Android(およびメッセージアプリ)では、音声メッセージや添付ファイルを受信した際、プレビューや文字起こし機能のために、バックグラウンドで自動的に音声デコード処理が行われる場合があります。
Google Project Zero の報告などによると、RCS(リッチコミュニケーションサービス)などを通じて悪意ある音声ファイルを送りつけられた場合、ユーザーがそのメッセージを開いたり再生したりしなくても、端末内でコードが実行されてしまう「ゼロクリック脆弱性」として機能することが確認されています。
この問題は Pixel 9(Android 16 動作環境)や Samsung Galaxy S24、Windows / macOS / ChromeOS などのデバイスでも再現性が確認されています。
Dolby 側が当初「中程度(Medium)」のリスクと評価していたのに対し、Android 環境下では実質的に極めて危険度が高い状態にありました。
配信はまもなく開始される見込み
今回の修正を含むセキュリティパッチレベルは「2026-01-05」となります。
通例通りであれば、Pixel シリーズに関しては間もなく OTA(Over-The-Air)アップデートの配信が開始される見込みです。また、Samsung などの主要メーカーも追ってアップデートを配信すると考えられます。
通知が届き次第、早急な適用をおすすめします。
