Google Chromeに危険なゼロデイ脆弱性、ユーザーは注意

Google は、ハッカーによって積極的に悪用されているゼロデイ脆弱性を含む 2 つの重大なセキュリティ脆弱性を修正する Chrome ブラウザの緊急アップデートをリリースしました。

サイバーセキュリティの専門家は、世界中の何十億ものユーザーがセッショントークン、クッキー、ログイン認証情報などの機密データが漏洩する危険にさらされている可能性があると警告している。

2つの重大な脆弱性：実世界での悪用とデータ漏洩

CVE-2025-5419として識別される最初の脆弱性は、Chrome の JavaScript および WebAssembly プロセッサである V8 エンジンに存在します。

Google の公式発表によると、この脆弱性により、攻撃者は割り当てられたメモリ領域を超えて読み取りおよび書き込み操作を実行できるようになり、悪意のあるコードをリモートで実行できる可能性があります。

実際、ユーザーがエクスプロイトコードを含むウェブサイトにアクセスするだけで、攻撃者はブラウザやデバイスを乗っ取ることができました。Googleは、この脆弱性が公表される前に悪用されていたことを確認しており、今年上半期における最も懸念されるサイバーセキュリティの脅威の一つとなっています。

2つ目の脆弱性（CVE-2025-4664）は、ブラウザがサブリソースを読み込む際にHTTPヘッダーとリファラーポリシーを処理する方法に関係しています。研究者によると、攻撃者はこの脆弱性を悪用し、URL経由でOAuthアクセストークン、セッションID、個人データを含むパラメータなどの機密情報を収集する可能性があります。

さらに危険なのは、この攻撃メカニズムは、感染した Web サイトにアクセスする以外にユーザーが何らかの操作を必要とせずに、気づかれずに実行される可能性があることです。

Google からの世界的な警告と対応

脆弱性が発見されてから間もなく、Google は対応するセキュリティ アップデートをリリースしました。Windows、Linux、macOS 用のバージョン137.0.7151.68/.69 でCVE-2025-5419 を修正し、バージョン136.0.7103.113/.114 でCVE-2025-4664 を修正しました。

米国のCISAやインドのCERT-Inなどのサイバーセキュリティ機関は同時に緊急警告を発し、ユーザーや組織に対し、進行中の攻撃の被害に遭わないようChromeブラウザを直ちに更新するよう求めている。

個人およびビジネスユーザーへのリスク

セキュリティ専門家は、両方の脆弱性が悪用されると、個人情報の盗難、ブラウザの制御、さらにはマルウェアのインストール、スパイ、身代金目的のデータ暗号化などのより大規模な攻撃につながる可能性があると述べている。

脆弱性を悪用するのにかかる時間は、情報が公開されてから数日から数時間に短縮されているため、タイムリーなソフトウェア更新が不可欠です。

脆弱性が発見されてからすぐに悪用される場合でも、攻撃者はわずか数時間以内に悪意のあるコードを起動し、更新する時間がなかったシステムに大きな負担をかけることができます。

データの防止と保護方法

個人ユーザーの方は、ヘルプセクションの「Google Chrome について」セクションでバージョンを確認し、ブラウザをすぐに更新することをお勧めします（メニュー > ヘルプ > Google Chrome について）。更新後、ブラウザを再起動してパッチが適用されていることを確認してください。

同時に、ユーザーは、特に電子メール、ソーシャル ネットワーク、信頼できない Web サイトからの疑わしいリンクをクリックしないようにする必要があります。

リスクを軽減するために、セキュリティ ソフトウェア、URL フィルター、または安全なブラウジング拡張機能の使用も推奨されます。

ネットワーク上のすべてのデバイスで Chrome を自動的に更新し、ネットワーク トラフィックの異常を監視し、潜在的なデータ侵害について社内で従業員に警告する必要がある企業や組織に最適です。

Wazuh やサンドボックス ソリューションなどの自動セキュリティ監視ツールも、使用されているエクスプロイトを検出するために使用できます。