TokyoBlackHatNews

malwarebytes.com 4分で読了

Chromeのゼロデイが現在進行形で攻撃中:危険なサイトを訪問するとブラウザが乗っ取られる可能性

Googleは、Chromeブラウザ向けに2件のセキュリティ修正を含むアップデートをリリースしました。どちらも深刻度が高いと分類されており、そのうち1件は実際に悪用されていると報告されています。これらの脆弱性は、Chrome(および他のChromiumベースのブラウザ)でJavaScriptを実行するV8エンジンで発見されました。

Chromeは世界で最も人気のあるブラウザで、推定34億人が利用しています。この規模のため、Chromeにセキュリティの欠陥があると、アップデートするまで何十億ものユーザーが潜在的に危険にさらされます。

これらの脆弱性が深刻なのは、あなたが訪れるほぼすべてのウェブサイトで実行されるコードに影響を与えるためです。ページを読み込むたびに、気付かないうちにさまざまなソースからのJavaScriptがブラウザで実行されます。適切な安全チェックがなければ、攻撃者が悪意のある命令を忍び込ませ、ブラウザがそれを実行してしまうことがあります—時には何もクリックしなくても。それにより、データの盗難、マルウェア感染、さらにはシステム全体の乗っ取りにつながる可能性もあります。

だからこそ、これらのパッチを速やかにインストールすることが重要です。未修正のままだと、ウェブを閲覧するだけで攻撃を受ける可能性があり、攻撃者は多くのユーザーがアップデートする前にこの種の脆弱性を悪用することがよくあります。常にブラウザの自動更新を許可し、セキュリティパッチを適用するための再起動を後回しにしないでください。なぜなら、アップデートはまさにこのようなリスクを修正することが多いからです。

アップデート方法

今回のChromeアップデートで、バージョン番号はWindowsが142.0.7444.175/.176、macOSが142.0.7444.176、Linuxが142.0.7444.175となります。つまり、Chromeのバージョン番号が142.0.7444.175以上であれば、これらの脆弱性から保護されています。

最も簡単なアップデート方法はChromeの自動更新を許可することですが、ブラウザを一度も閉じていなかったり、拡張機能がアップデートを妨げていたりすると、最新にならない場合があります。

手動でアップデートするには、「その他」メニュー(三つの縦に並んだ点)をクリックし、設定 > Chromeについて を選択します。アップデートが利用可能な場合、Chromeが通知し、ダウンロードを開始します。その後、Chromeを再起動してアップデートを完了すれば、これらの脆弱性から保護されます。

より詳しいアップデート手順やバージョン番号の確認方法は、当社の記事「すべてのOSでChromeをアップデートする方法」でご確認いただけます。

Chromeは最新です

技術的な詳細

両方の脆弱性は、V8における「型混乱(type confusion)」の欠陥として特徴付けられています。

型混乱は、コードが処理しているオブジェクトの型を確認せずに誤って使用する場合に発生します。つまり、ソフトウェアがあるデータ型を別のものと間違えて扱う—例えばリストを単一の値として扱ったり、数字をテキストとして扱ったりするようなことです。これによりChromeが予期しない動作をすることがあり、場合によっては攻撃者がメモリを操作して、悪意のあるまたは侵害されたウェブサイト上の細工されたJavaScriptを通じてリモートでコードを実行できる場合があります。

実際に悪用されている脆弱性—Googleは「CVE-2025-13223のエクスプロイトが実際に存在する」と述べています—は、Googleの脅威分析グループ(TAG)によって発見されました。これにより、リモートの攻撃者が悪意のあるHTMLページを通じてヒープ破損を悪用できる可能性があります。つまり、「危険な」ウェブサイトを訪れるだけでブラウザが侵害される恐れがあるということです。

Googleは、誰がこの脆弱性を悪用しているのか、実際の攻撃でどのように使われているのか、誰が標的になっているのかについてはまだ詳細を共有していません。しかし、TAGチームは通常、スパイウェアや、ゼロデイをスパイ活動に悪用する国家レベルの攻撃者に注目しています。

2つ目の脆弱性は、CVE-2025-13224として追跡されており、GoogleのAI駆動型脆弱性発見プロジェクト「Big Sleep」によって発見されました。影響の可能性はもう一方の脆弱性と同じですが、サイバー犯罪者はまだその利用方法を見つけていないようです。

Edge、Opera、Braveなど、他のChromiumベースのブラウザのユーザーも、近いうちに同様のアップデートが提供される見込みです。

私たちは脅威を報告するだけでなく、駆除も行います

サイバーセキュリティのリスクは、見出しだけで終わらせてはいけません。脅威をデバイスから遠ざけるために、今すぐMalwarebytesをダウンロードしましょう

翻訳元: https://www.malwarebytes.com/blog/news/2025/11/chrome-zero-day-under-active-attack-visiting-the-wrong-site-could-hijack-your-browser

ソース: malwarebytes.com
#2025年サイバー攻撃 #AIアップデート #AWS/Google Cloud攻撃 #Chrome #CVE-2025-13223 #CVE-2025-13224 #V8エンジン #ゼロデイ脆弱性 #タイプコンフュージョン #ブラウザセキュリティ

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延