SamsungのAndroid 2026年4月セキュリティアップデートを適用したGalaxy端末で、Microsoft Teams・Authenticator・Outlook・OneDriveなどのM365アプリが突然機能しなくなる障害が多数報告されている。原因はAndroid WebViewのリグレッションバグと見られており、スマートフォンで業務を行うエンジニアやIT管理者にとって看過できない問題だ。

何が起きているのか

Samsungは2026年4月8日以降、Galaxy端末向けに2026年4月のAndroidセキュリティアップデートを順次配布している。このアップデートはExynos CPUを搭載したGalaxy端末の47件の脆弱性(うち14件がCritical)を修正する重要なものだ。

しかしその副作用として、M365アプリが断続的にあるいは完全に機能しなくなる事例が続出している。Samsung公式フォーラムには7ページを超えるスレッドが立ち、4月17日以降マイクロソフトのQ&Aフォーラムにも同様の報告が集まっている。

影響を受けるアプリと症状

  • Microsoft Teams: 他ユーザーのステータス表示が消え、メッセージが送信できなくなる
  • Microsoft Authenticator: MFA通知が届かなくなり、場合によってはアプリ自体が起動不能になる
  • Outlook: メールが更新されなくなり、画面が黒くなって何も表示されなくなる
  • OneDrive: 接続障害が報告されている

端末の再起動で一時的に回復することがあるが、しばらくすると再発するケースが多い。PC・ノートPCでは問題が生じていない点も特徴的だ。

技術的な原因:WebViewへの依存が仇に

M365アプリの多くは、認証フローや一部コンテンツ表示にAndroid WebViewを利用している。特にMSAL(Microsoft Authentication Library)を通じた認証処理はWebViewに強く依存しており、WebViewに問題が生じると認証そのものが崩壊する。

今回のSamsungアップデートはWebViewコンポーネントにリグレッションを引き起こしたと考えられており、特定のDNS処理やネットワーク接続時にWebViewが正常動作しなくなるケースがある模様だ。

暫定的な回避策

根本的な解決はSamsungによる修正パッチ配布を待つしかないが、現時点で有効とされる回避策は以下の通りだ。

  1. Private DNSを無効化する(最もシンプル) 設定 → 接続 → 詳細接続設定 → プライベートDNS → オフ に変更し、再起動する。多くのユーザーがこれで復旧を確認している。

2. Google Play ServicesのWebViewを再インストールする Play StoreからAndroid System WebViewの更新を一度削除し、再起動後に再インストールする。ただし、次回のWebView更新後に再発する可能性がある。

3. 端末の再起動 断続的な障害の場合、再起動で一時的に回復する。恒久対処ではないが急場しのぎとして有効だ。

実務への影響と対応

IT管理者が今すぐすべきこと

Microsoft Authenticatorが機能しなくなるということは、MFAが機能しなくなることを意味する。条件付きアクセスポリシーでMFAを強制している組織では、Galaxy端末ユーザーがM365にログインできなくなる事態が起こりうる。

優先度の高い対応として以下を推奨する。

  • Galaxy端末ユーザーへの注意喚起: 2026年4月パッチ適用済みの端末ユーザーに周知し、回避策の手順を共有する
  • 代替認証手段の一時開放: TOTP(Authenticatorのワンタイムコード機能)やFIDO2キーなど、Authenticatorのプッシュ通知に依存しない認証方式を一時的に有効化することも検討する
  • Samsung修正パッチの監視: Samsungが修正アップデートを配布した際には迅速に適用できるよう、MDM側でアップデート通知体制を整えておく

モバイルアプリ開発者への教訓

WebViewへの依存は「OSアップデートの余波」を受けやすいことを今回改めて示した。エンタープライズ向けAndroidアプリを開発・運用する場合、WebViewのバージョン依存を考慮し、回帰テストにWebViewバージョンを明示的に含めることが重要になる。

筆者の見解

「セキュリティパッチが別のセキュリティリスクを生む」——今回の問題にはそういう皮肉な構造がある。47件もの脆弱性を修正する重要なパッチが、業務の要であるMFAを機能不全に陥らせてしまった。

Microsoftの立場から見れば、自社アプリが他社のOSアップデートで突然壊れる状況はコントロールしにくい面もある。一方で、MSALを含む認証レイヤーの実装においてWebViewへの依存度を下げる設計や、より堅牢なフォールバック機構を持てないかという点は、今後の課題として向き合ってほしいと思う。Microsoftの技術力をもってすれば、対応できないはずはない。

IT管理者の視点では、今回の事案は認証の冗長性を見直す良い機会だ。Authenticatorが唯一のMFA手段になっていると、このような外部要因のトラブルで業務が止まる。ゼロトラストの文脈でいえば「Single Point of Failureを排除する」は基本中の基本であり、平時に気づけるうちに複数の認証手段を整備しておくことを強くお勧めしたい。

今はSamsungの修正を待ちながら、上記の回避策で業務を継続してほしい。

出典: この記事は Samsung Galaxy April 2026 Android Update Breaks Microsoft 365 Apps — WebView Regression の内容をもとに、筆者の見解を加えて独自に執筆したものです。