CISA Warns of Chrome 0-Day Vulnerability Exploited in Attacks
2025/07/03 CyberSecurityNews — Google Chrome に存在する深刻なゼロデイ脆弱性に対して、CISA が緊急警告を発した。この脆弱性については、実際の攻撃での悪用が多数報告され、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された。この脆弱性 CVE-2025-6554 は、Chromium V8 JavaScript エンジンに影響を与えるものであり、世界中の組織に対して、早急な対応が求められている。
V8 エンジンに存在する深刻な RCE 脆弱性
この脆弱性は、Google の Chromium V8 JavaScript エンジンにおけるタイプ・コンヒュージョンに起因する。このエンジンは、Web ブラウザにおいて JavaScript コードを実行する、中核的な処理ユニットである。
この脆弱性は CWE-843 に分類されており、細工された HTML ページを介した任意の Read/Write 操作を、リモート攻撃者に許すとされる。このタイプ・コンヒュージョンの問題は、V8 エンジンがデータ型を不適切に処理する際に発生し、メモリを操作する攻撃者は、被害者のシステム上での任意のコード実行を可能とする。
セキュリティ研究者が確認したのは、このゼロデイ脆弱性が Google Chrome だけではなく、多様なブラウザに対して重大なリスクを及ぼすことだ。この脆弱性の影響が及ぶ範囲は、Chromium をベースとする Microsoft Edge や Opera などの、Chromium エンジンを採用するブラウザにも波及する。
この広範な攻撃対象範囲により、パッチが適用されるまでの間は、多数のブラウザが脆弱な状態に置かれるため、悪用の可能性が高まっている。
CISA の KEV カタログによると、悪意の Web ページを用いる攻撃者は、高度な攻撃を実行し、システム全体への侵害を引き起こす可能性を手にするという。この脆弱性を悪用された脆弱性として、CISA が指定したという事実は、すでに脅威アクターたちが、この脆弱性を悪用する攻撃キャンペーンを展開していることを意味する。
| Risk Factors | Details |
| Affected Products | Google Chrome- Microsoft Edge- Opera- Other Chromium-based browsers |
| Impact | Remote arbitrary read/write operations |
| Exploit Prerequisites | User visits a malicious website- Crafted HTML page containing exploit code- Vulnerable browser version |
| CVSS 3.1 Score | 8.1 (High) |
緊急の緩和策の必要性
拘束的運用指令 (BOD) 22-01 に基づき、CISA は連邦政府機関に対して、この脆弱性に対する緩和策を、2025年7月23日までに実施するよう定めている。
この指令は、米国の連邦政府民間行政機関に対して、政府ネットワークをアクティブな脅威から保護する目的で、既知の脆弱性の修復を指定された期限内に実施するよう義務付けるものだ。クラウド・サービスを利用している組織に対して CISA が強調するのは、BOD 22-01 のクラウド・サービスに関する規定を遵守することの重要性である。
その一方で、民間の組織においても、Google が提供する緩和策を速やかに適用し、その公式セキュリティ・ガイダンスに従う必要がある。緩和策が利用不可能または不十分である場合には、包括的な修正プログラムが導入されるまで、影響を受ける製品の使用停止を検討すべきである。
現時点における CISA の評価では、この脆弱性とランサムウェア攻撃との関連性が明らかにされていない。しかし、CISA が KEV カタログに迅速に追加したことが、この脅威の深刻さを明確に示している。
ユーザー組織に対して推奨されるのは、パッチ管理サイクルにおいて脆弱性 CVE-2025-6554 への対応を優先し、ネットワーク監視およびエンドポイント保護対策などの追加セキュリティ措置を講じることである。それにより、V8 エンジンの脆弱性を標的とする、潜在的な悪用行為の検出体制を強化する必要がある。
Chromium ベースの Chrome/Edge/Opera などに影響を与える、深刻な脆弱性が発見されました。この脆弱性は、悪意のサイトを閲覧しただけで攻撃を受ける可能性があるという、V8 エンジンに関わる危険なものであり、CISA は緊急対応を呼びかけています。ご利用のユーザーさんは、十分に ご注意ください。よろければ、Chrome で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.