Google Chrome に危険なゼロデイ脆弱性があり、ユーザーは注意が必要です。

Google は、ハッカーによって積極的に悪用されているゼロデイ脆弱性を含む 2 つの重大なセキュリティ脆弱性を修正する Chrome ブラウザの緊急アップデートをリリースしました。

サイバーセキュリティの専門家は、世界中の何十億ものユーザーがセッショントークン、Cookie、ログイン情報などの機密データ漏洩の危険にさらされている可能性があると警告しています。

2 つの重大な脆弱性: 実際の悪用とデータ漏洩。

CVE-2025-5419として特定された最初の脆弱性は、Chrome の JavaScript および WebAssembly プロセッサである V8 エンジンに発生しました。

Google の公式発表によると、この脆弱性により、攻撃者は割り当てられたメモリ領域を超えて読み取りおよび書き込み操作を実行できるようになり、リモートコード実行が可能になります。

実際、エクスプロイトコードを含むウェブサイトにアクセスするだけで、ハッカーはブラウザやデバイスを制御できるようになります。Googleは、この脆弱性が公表される前に悪用されたことを確認しており、今年上半期における最も懸念されるサイバーセキュリティの脅威の一つとなっています。

2つ目の脆弱性（CVE-2025-4664 ）は、ブラウザが補助リソースを読み込む際にHTTPヘッダーとリファラーポリシーを処理する方法に関連します。研究者によると、ハッカーはこの脆弱性を悪用することで、OAuthアクセストークン、セッションID、個人データを含むパラメータなどの機密情報をURL経由で収集できる可能性があります。

さらに危険なのは、この攻撃メカニズムが気づかれずに実行される可能性があり、マルウェアに感染した Web サイトにアクセスする以外にユーザーが行う操作を必要としないことです。

世界的な警報とGoogleの対応

脆弱性が発見された直後、Google は対応するセキュリティ アップデートをリリースしました。Windows、Linux、macOS 用のバージョン137.0.7151.68/.69で CVE-2025-5419 を修正し、バージョン136.0.7103.113/.114で CVE-2025-4664 を修正しました。

米国のCISAやインドのCERT-Inなどのサイバーセキュリティ機関は緊急警告を発し、ユーザーや組織に対し、進行中の攻撃の被害者にならないようChromeブラウザを直ちに更新するよう促した。

個人ユーザーと企業にとってのリスク

セキュリティ専門家は、両方の脆弱性が悪用され、個人情報の盗難、ブラウザの制御、さらにはマルウェアのインストール、スパイ活動、ランサムウェアの暗号化などのより大規模な攻撃につながる可能性があると考えています。

脆弱性を悪用するのにかかる時間が、情報が公開されてから数日から数時間に短縮されているため、タイムリーなソフトウェア更新が重要になります。

さらに、脆弱性は発見後すぐに悪用されるため、攻撃者は数時間以内にマルウェアをリリースし、更新する時間がなかったシステムに多大な圧力をかけることができます。

データの防止と保護の方法

個人ユーザーの方は、ヘルプメニューの「Google Chromeについて」セクションにアクセスしてバージョンを確認し、ブラウザをすぐに更新することをお勧めします（メニュー > ヘルプ > Google Chromeについて）。更新後、パッチが適用されていることを確認するためにブラウザを再起動する必要があります。

同時に、ユーザーは、特に電子メール、ソーシャル メディア、信頼できない Web サイトからの疑わしいリンクをクリックしないようにする必要があります。

リスクを最小限に抑えるために、セキュリティ ソフトウェア、URL フィルター、その他の安全なブラウジング ツールの使用も推奨されます。

ネットワーク上のすべてのデバイスに Chrome の自動更新を展開し、ネットワーク アクセス アクティビティを監視して異常を検出し、潜在的なデータ漏洩について従業員に社内警告する必要がある企業や組織に最適です。

Wazuh やサンドボックス ソリューションなどの自動化されたセキュリティ監視ツールも、脆弱性を悪用するエクスプロイトを検出するために使用できます。