CISA Warns of Google Chrome 0-Day Vulnerability Exploited in Attacks
2025/11/20 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発令したのは、Google Chrome のゼロデイ脆弱性に関する緊急アラートである。この脆弱性 CVE-2025-13223 は Chromium V8 JavaScript エンジンの欠陥であり、脅威アクターにより積極的に悪用され、世界中のユーザーにリモート・コード実行やデータ侵害の恐れが生じている。
この脆弱性は、タイプ・コンフュージョン (CWE-843) に起因し、ブラウザがデータ型を誤って処理することでヒープ・メモリを破損させるものであり、Google は 2025年11月19日の Stable チャンネル・アップデートで修正している。この脆弱性 CVE-2025-13223 の影響を受けるのは、バージョン 131.0.6778.72 以前の Chrome である。
すでに攻撃者たちは、脆弱性 CVE-2025-13223 を実環境で悪用しているが、具体的な攻撃キャンペーンの詳細は公開が限定されている。Google が発表した日に CISA も、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦政府機関に対し 2025年12月10日までに緩和策を適用するよう義務付けた。
脆弱性の詳細と影響を受けるシステム
このゼロデイ脆弱性は、Chrome のレンダリング・エンジンのコアに存在し、ドライブ・バイ・ダウンロードや Web サイト上での悪意ある操作を可能にする、主要な攻撃経路になり得る。主に Windows/macOS/Linux の Chrome ユーザーに影響するが、Microsoft Edge や Brave などの Chromium ベースのブラウザにも影響を及ぼす。
現時点でランサムウェアとの関連性は確認されていないが、専門家たちが警告するのは、フィッシングやサプライチェーン攻撃のエスカレーションの可能性である。
| CVE ID | Affected Products | Impact | Exploit Prerequisites | CVSS Score |
|---|---|---|---|---|
| CVE-2025-13223 | Google Chrome (versions < 131.0.6778.72), Chromium-based browsers | Heap corruption leading to remote code execution | Visiting malicious websites; no user interaction required beyond rendering | 8.8 (High) |
CISA が強く推奨するのは、Google のリリース・ノート経由で入手可能な、最新版 Chrome への即時アップデートである。
クラウド環境に関しては、連邦政府機関は拘束力のある運用指令 22-01 に準拠し、ゼロトラスト原則を徹底しなければならない。また、パッチ適用が不可能な場合には、リスク抑制のため製品の使用中止が推奨される。
このインシデントが浮き彫りにするのは、特に V8 の複雑なコードベースにおいて、ブラウザ脅威が絶え間なく進展していることである。30 億人以上のユーザーを抱える Chrome の支配的地位は、パッチ未適用のシステムが広範な侵害を助長する可能性を高め、また、事態の深刻さを増幅させる。
ゼロデイ脆弱性が大規模攻撃キャンペーンの前兆となることが多いため、警戒的な監視の必要性を、セキュリティ研究者たちは強調している。実環境での悪用が続く中、組織はネットワークをスキャンして侵害の兆候を確認し、ユーザーに安全なブラウジングの指導を行う必要がある。
Chrome の V8 エンジンの深刻なゼロデイ脆弱性が、CISA KEV カタログに登録されました。原因は、データ型の誤処理によるメモリ破損です。すでに攻撃者は実環境で悪用しており、その影響の範囲は Chromium 系ブラウザ全般にも及びます。ご利用のユーザーさんは、アップデートをお急ぎください。よろしければ、CISA KEV での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.