Googleは、現在積極的に悪用されているChromeのセキュリティ脆弱性に対して追加のパッチを公開し、ユーザーにアップデートを促しています。このパッチはChromeのV8エンジンに存在する2つの欠陥を修正するもので、そのうち1つについては、すでに実際の攻撃で悪用されているとGoogleは述べています。
どちらの問題も、V8 JavaScriptエンジンにおける「型混同(type confusion)」の脆弱性として説明されています。これは、Chromeが処理しているオブジェクトの型を正しく検証せず、誤った前提で利用してしまうときに発生します。言い換えると、ブラウザがデータの種類を取り違えるのです——たとえば、リストを単一の値として扱ったり、数値を文字列として扱ったりするようなケースです。その結果、予測不能な動作を引き起こし、場合によっては攻撃者がメモリを操作して、悪意あるまたは侵害されたウェブサイト上の細工されたJavaScriptを通じてリモートでコードを実行できてしまいます。
つまり、これらの脆弱性は、あなたがChromeで最もよく使う部分——ブラウジング機能——の中に存在します。そしてChromeは世界で最も人気のあるブラウザであり、推定34億人のユーザーがいるため、非常に大きな攻撃対象となっています。Chromeに、ウェブサイトを閲覧するだけで悪用されうるセキュリティ欠陥がある場合、ユーザーがアップデートするまで、その何十億人ものユーザーが危険にさらされることになります。
だからこそ、これらのパッチを速やかにインストールすることが重要です。パッチを適用しないままでいると、ただウェブを閲覧しているだけでリスクにさらされる可能性があります。攻撃者は、多くのユーザーがアップデートする前に、この種の欠陥を悪用することがよくあります。Chromeには自動アップデートを任せ、アップデート後の再起動を先延ばしにしないでください。アップデートは、まさにこの種のリスクを修正するために行われることがほとんどです。
Chromeをアップデートする方法
最新バージョンは、Windows向けが 144.0.7444.175/.176、Linux向けが 144.0.7444.175 、macOS向けが 144.0.7444.176 です。したがって、Chromeのバージョンが 144.0.7444.175 以降 であれば、今回の脆弱性から保護されています。
最も簡単なアップデート方法は、Chromeに自動アップデートを任せることですが、ブラウザをまったく閉じない場合や、拡張機能がブラウザの更新を妨げるなど何らかの問題が発生した場合には、最新バージョンへの更新が遅れてしまうことがあります。
手動でアップデートするには、その他 メニュー(縦の三点リーダー)をクリックし、設定 > Chromeについてに進みます。アップデートが利用可能な場合、Chromeが自動的にダウンロードを開始します。アップデートを完了するにはChromeを再起動してください。これで、今回の脆弱性から保護されます。
各OSごとの手順については、当社のガイド 「すべてのオペレーティングシステムでChromeをアップデートする方法」でもステップバイステップで確認できます。
2025年に悪用されたChromeのゼロデイ
公開レポートによると、2025年には少なくとも7件のChromeゼロデイが悪用されており、その多くがV8 JavaScriptエンジンに関連し、一部は標的型スパイ活動と結びついています。
つまり、2025年はChromeのゼロデイにとって比較的多忙な年となっています。
3月には、ロシアの標的に対するスパイ活動で利用された、CVE‑2025‑2783として追跡されるサンドボックスエスケープが確認されました。
5月には、アカウント乗っ取りの脆弱性(CVE‑2025‑4664)というさらなる悪いニュースがもたらされ、続く6月には、攻撃者がブラウザ内でコードを実行し、場合によってはサンドボックス境界を飛び越えることを可能にする、複数のV8関連の問題(CVE‑2025‑5419やCVE‑2025‑6558を含む)が報告されました。
9月には、別のV8型混同バグ(CVE‑2025‑10585)が追加され、これも臨時パッチを正当化するほど深刻なものでした。
そして今回の最新アップデートで、GoogleはCVE-2025-13223に対処しました。これは、スパイウェアやゼロデイを常習的に利用する国家主体によるスパイ活動を専門に調査するGoogleのThreat Analysis Group(TAG)によって報告されたものです。
うまくいけば、このアップデートが2025年におけるChromeゼロデイの連続発生に終止符を打ってくれることでしょう。
翻訳元: https://www.malwarebytes.com/blog/news/2025/12/another-chrome-zero-day-under-attack-update-now
