関連記事
Galaxy Z Fold 7 / Flip 7に7月のセキュリティ更新、画像処理の深刻な脆弱性を修正
サムスンは2026年7月9日、Galaxy Z Fold 7およびGalaxy Z Flip 7向けに2026年7月度のAndroidセキュリティアップデートの配信を開始した。今回のアップデートでは、5件の「深刻(Critical)」を含む計57件の脆弱性が修正される。これには、過去に商用スパイウェアによる実際の攻撃に悪用されたものと同種の画像解析に関する脆弱性が含まれており、対象デバイスのユーザーはアップデートが届き次第、速やかに適用することが推奨される。
■韓国を皮切りに順次グローバル展開へ
今回のアップデートは、サムスンが通常最初にアップデートを展開する韓国から開始された。数日以内にはグローバル市場にも展開される見込みだ。手動で更新を確認するには、「設定」から「ソフトウェア更新」をタップし、「ダウンロードおよびインストール」を選択する。「お使いのソフトウェアは最新です」と表示される場合は、段階的な配信がまだ所有するデバイスや地域に到達していないことを意味する。
サムスンは今月のセキュリティサイクルを、折りたたみスマートフォンに先駆けてGalaxy S26およびGalaxy S25シリーズから開始していた。SamMobileがSamsung Membersコミュニティの報告を追跡した情報によると、Galaxy Z Fold 7のアップデートパッケージの容量は573MBでファームウェアバージョンは「F966NKSSBBZG3」、Galaxy Z Flip 7は443MBで「F766NKSSBBZG3」となっている。なお、アップデートのサイズは市場やキャリアによって異なる場合がある。
今回のリリースには新機能は含まれていない。サムスンの7月のアップデートは「セキュリティメンテナンスリリース(SMR)」であり、機能追加が行われる「One UI」のアップデートとは異なる。Galaxy AIの追加機能やカメラの改善を期待しているユーザーは、今後のアップデートを待つ必要がある。
■57件の脆弱性修正が意味すること
今回のセキュリティメンテナンスリリースには、GoogleのAndroidセキュリティ情報から提供された41件の修正と、サムスン独自の脆弱性調査チームによる16件の修正、合わせて57件が含まれている。そのうち5件が「深刻(Critical)」、42件が「高(High)」、7件が「中(Moderate)」と評価されている。
これら5件の深刻な脆弱性(CVE)は、2つの異なる攻撃対象領域に分類される。3件(CVE-2026-28590、CVE-2026-28618、CVE-2026-28639)はAndroid OSのコアコンポーネントおよびMedia Frameworkに影響するものだ。Googleはこれらを「深刻」に分類しているが、具体的な悪用方法の詳細はGoogle、サムスンともに公開していない。現時点で実際の悪用や概念実証(PoC)コードは確認されていないため、多くのユーザーにとっては重大ではあるものの、抽象的なリスクにとどまる。
一方で、残りの2件はより具体的で警戒が必要なものだ。「CVE-2026-27280」は、AdobeのDNGソフトウェア開発キット(バージョン1.7.1 2471以前)におけるアウトオブバウンズ書き込み(境界外書き込み)の脆弱性である。デジタル写真や多くのプロ向けカメラアプリで使用される可逆圧縮RAWフォーマットである「DNG画像ファイル」の不正なデータを開くだけで、攻撃者がデバイス上でリモートから任意のコードを実行できる可能性がある。「CVE-2026-33636」は、libpngライブラリにおけるアウトオブバウンズの脆弱性で、ARMおよびAArch64プロセッサにおいてハードウェアアクセラレーションによるカラーパレット拡張が有効な場合、細工されたPNGファイルによって引き起こされる。これにより、サービス拒否(DoS)クラッシュが発生するか、攻撃者が意図しないメモリ境界の外からデータを読み取ることが可能になる。
どちらも通常の画像ファイルに見えるものを介してリモートから悪用可能だが、特にDNGの脆弱性は、改ざんされた写真を通じてデバイス上で任意のコードを実行される恐れがあるため、よりリスクが高い。
■サムスン独自の修正でもリモート画像解析の脆弱性に対処
Google提供の深刻なCVEに加えて、サムスン独自の16件の修正には、同社の画像コーデックライブラリ「libimagecodec.media.quram.so」における2件の高評価の脆弱性が含まれており、これらは評価以上に注意を払う必要がある。
「SVE-2026-1087」は同ライブラリ内のTIFFフォーマット解析におけるアウトオブバウンズ書き込みの脆弱性であり、「SVE-2026-1650」は同じくDNGフォーマット解析におけるアウトオブバウンズ書き込みの脆弱性だ。サムスンのセキュリティ情報によると、どちらも「リモートの攻撃者が境界外のメモリに書き込むことを可能にする」とされている。これらは「深刻」ではなく「高」に分類されているが、深刻な脆弱性であるCVE-2026-27280と同様のリモート悪用モデルを持つ。つまり、どのような経路であれ、細工された画像ファイルを受信し、それを開くかプレビューするだけで、ユーザーがそれ以上の操作を行わなくても脆弱性が誘発される可能性がある。
このほか、サムスン独自の高評価の修正として、「libsavsac.so」および「libpadm.so」におけるメモリ破損(ローカルコード実行を可能にするアウトオブバウンズ書き込み)、fabricKeymaster信頼タスクにおけるTime-of-Check Time-of-Use(TOCTOU)の競合状態、そしてローカルの攻撃者がアプリケーションの永続化設定をバイパスできるKnoxGuardManagerの不適切な権限付与の脆弱性などが修正されている。
■画像解析の脆弱性が警戒される理由
サムスンの画像コーデックライブラリにおけるアウトオブバウンズ書き込みの脆弱性は、決して机上の空論ではない。2025年11月、Palo Alto Networksの脅威インテリジェンスチーム「Unit 42」は、商用グレードのAndroid向けスパイウェアを用いた攻撃キャンペーン(コード名:LANDFALL)に関する調査結果を公開した。このキャンペーンでは、サムスンの画像処理ライブラリ「libimagecodec.quram.so」に存在したアウトオブバウンズ書き込みの脆弱性「CVE-2025-21042」が悪用され、イラク、イラン、トルコ、モロッコなどのGalaxyデバイスに監視ソフトウェアが送り込まれていた。
この攻撃は、WhatsApp経由で送信された不正なDNG画像ファイルを介して実行された。今回の2026年7月のセキュリティ情報で修正された脆弱性も、これと構造的に同一の仕組みを持つ。サムスンはCVE-2025-21042を2025年4月に修正し、同ライブラリ内の2つ目の脆弱性「CVE-2025-21043」も2025年9月に修正している。米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2025年11月10日にCVE-2025-21042を「実際に悪用された脆弱性カタログ(KEV)」に追加した。
今回の2026年7月のセキュリティ情報では、同じライブラリクラスにおける新たな脆弱性「SVE-2026-1087」および「SVE-2026-1650」が、Adobe DNG SDKの深刻な脆弱性とともに修正された。本稿執筆時点で、これらの脆弱性が実際に悪用されたという証拠は公開されていないが、過去のパッチサイクルにおける実績から、セキュリティ研究者や企業のデバイス管理者は、実際の悪用が確認されているかどうかにかかわらず、この脆弱性ファミリーを緊急性の高いものとして扱っている。
■Androidの2系統パッチシステムと配信の仕組み
サムスンのパッチ適用タイミングがGoogleと異なる理由を理解することは、アップデートがいつ届くかを予測する上で役立つ。
Googleは通常、毎月第1週に「Android Security Bulletin」を公開し、公開から48時間以内に修正内容がAndroidオープンソースプロジェクト(AOSP)にマージされる。サムスンは、Googleがこれらを公表する少なくとも1ヶ月前に該当するCVEの通知を受けており、Google由来の修正とサムスン独自のSVE修正を1つのパッケージとして準備する。これらがセキュリティメンテナンスリリースとしてまとめられ、段階的に配信される。
段階的な配信アーキテクチャ(まず特定の国から開始し、地域ごとに展開する手法)が採用されている理由の一つは、通信キャリアとの調整が必要なためだ。AT&T、Verizon、T-Mobileなどのネットワークにロックされたキャリア端末では、アップデートを配信する前に個別の認証テストが行われるため、ユーザーによっては数日から数週間の遅れが生じることがある。同じ都市に住む2人のGalaxy Z Fold 7所有者であっても、利用しているキャリアが異なれば、パッチを受け取る日が異なる場合がある。アップデートが届くまでは、「Google Playプロテクト」を有効に保ち、提供元不明のアプリのインストール(サイドローディング)を避けることで、一部の脆弱性への露出を減らすことができる。
■次世代モデル発表の12日前にパッチが到着
サムスンは、2026年7月22日にロンドンで開催予定の「Galaxy Unpacked」の12日前に、この7月のセキュリティ配信を開始した。同イベントでは「Galaxy Z Fold 8」「Galaxy Z Fold 8 Ultra」「Galaxy Z Flip 8」の発表が予想されている。Fold 7およびFlip 7世代へのセキュリティアップデートは、サムスンがフラッグシップGalaxyデバイスに対して約束している「7年間のセキュリティアップデート保証」を裏付けるものであり、後継モデルの登場が迫る中でも、1年前の折りたたみデバイスへのサポートを継続していることを示している。現行世代の所有者は、Fold 8の発売後も長年にわたって毎月のパッチを受け取り続けることができる。
■アップデートの適用方法
Galaxy Z Fold 7またはZ Flip 7の「設定」を開き、「ソフトウェア更新」から「ダウンロードおよびインストール」をタップする。アップデートがまだ利用できない場合は、段階的な配信が端末や地域に届いていないことを意味する。サムスンの配信は通常、韓国からアジア全域、その後ヨーロッパ、アメリカへと数日かけて拡大していくため、アップデートが表示されるまで毎日確認することをお勧めする。
アップデートが利用可能になると、インストールにはデバイスや接続速度に応じて通常5〜10分かかる。インストールプロセスは途中で中断しないように注意が必要だ。キャリアロックされた端末では、キャリアによるテストが完了するまでさらに遅れる場合がある。
■注目ポイントQ&A
●今回のアップデートで修正される「深刻な画像ファイルの脆弱性」は、具体的にどのような影響を及ぼしますか?
最も深刻な画像関連の脆弱性である「CVE-2026-27280」は、AdobeのDNG画像処理ライブラリにおける境界外書き込みの脆弱性を悪用するものです。不正に細工されたDNG画像ファイルを受信し、それをカメラアプリ、フォトギャラリー、またはメッセージのプレビューなどでスマートフォンが処理すると、ユーザーがそれ以上の操作を行わなくても、攻撃者がリモートからデバイス上で任意のコードを実行できる可能性があります。これは、2024年にWhatsApp経由で送信された不正なDNGファイルを介し、Galaxyデバイスに商用スパイウェア「LANDFALL」をインストールするために悪用されたサムスン独自の画像コーデックライブラリの脆弱性と同種のものです。サムスンは今回のリリースで、Adobe DNG SDKの脆弱性と、サムスン独自の画像コーデックの脆弱性2件を修正しました。
●Galaxy Z Fold 7またはGalaxy Z Flip 7をアップデートするにはどうすればよいですか?
デバイスの「設定」を開き、「ソフトウェア更新」をタップしてから「ダウンロードおよびインストール」をタップします。アップデートが表示されない場合は、段階的なグローバル配信がまだお住まいの地域に到達していません。数日おきに再度確認してください。アップデートパッケージのサイズはFold 7が573MB、Flip 7が443MBです。モバイルデータ通信料を避けるため、インストール前にWi-Fiに接続することをお勧めします。
●このアップデートをまだインストールしていない場合、危険性は高いですか?
危険性の高さはデバイスの用途によって異なります。お使いのGalaxy折りたたみスマートフォンをモバイルバンキング、企業のメール、二要素認証、機密ファイルの保存に使用している場合、あるいは機密情報を持って旅行する場合は、今回のリリースで修正される5件の深刻な脆弱性と2件の高評価のリモート画像解析の脆弱性は重大なリスクとなります。ここで対処されている画像コーデックの脆弱性クラスは、過去に実際のパッチ未適用のスパイウェア攻撃キャンペーンで悪用された実績があります。お住まいの地域でパッチが利用可能になり次第、速やかにインストールしてください。それまでは、メッセージングアプリなどで見知らぬ連絡先から受信した画像ファイルを開く際には特に注意してください。
●2026年7月のGalaxyアップデートはいつ国内に届きますか?
サムスンは2026年7月9日に韓国で2026年7月パッチの配信を開始しました。グローバル市場には通常、キャリアの認証スケジュールに応じて数日から1〜2週間以内に展開されます。国ごとの詳細な配信順序は公開されていません。お使いのデバイスにアップデートが表示されるまで、毎日「設定」を確認してください。
元記事: Galaxy Z Fold 7 and Flip 7 July Update Fixes Critical Image-File Exploit
※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。
スポンサードリンク

