GoogleはChromeブラウザの高深刻度脆弱性CVE-2025-10585に対する緊急パッチを配信した。この脆弱性はV8 JavaScriptおよびWebAssemblyエンジンにおけるタイプコンフュージョン(型混同)の欠陥で、既に野生環境で悪用されている。
Google脅威分析グループ(TAG)が発見し報告した。この脆弱性により、システムクラッシュ、任意のコード実行、悪意のHTMLページを通じたシステム全体の侵害が可能となる。
修正版はWindowsおよびmacOS向けがバージョン140.0.7339.185/.186、Linux向けが140.0.7339.185である。これは2025年にゼロデイとして悪用された6件目のChromeバグとなる。過去の5件にはCVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554、CVE-2025-6558が含まれる。
ユーザーはchrome://settings/helpにアクセスして即座の更新を実行できる。
From: 
Google pushes emergency patch for Chrome 0-day
【編集部解説】
今回のCVE-2025-10585は、2025年に入って6件目となるChromeのゼロデイ脆弱性です。2020年ごろからゼロデイ脆弱性の報告件数は急増しており、近年になってChromeを狙った攻撃が組織的かつ継続的に行われている可能性を示唆しています。
特に注目すべきは、今回の脆弱性を発見したのがGoogle自身の脅威分析グループ(TAG)であることです。TAGは主に国家レベルの攻撃者や高度な脅威アクターを追跡する組織として知られています。この事実は、今回の攻撃が単なる一般的なサイバー犯罪ではなく、より高度で組織化された主体による可能性が高いことを物語っています。
V8エンジンにおけるタイプコンフュージョン脆弱性は、技術的に非常に深刻な問題です。この種の脆弱性は、メモリ内のデータ型を誤認識することで発生し、攻撃者に任意のコード実行権限を与える可能性もあります。特にWebブラウザという、日常的に様々なWebサイトにアクセスするアプリケーションでこの脆弱性が悪用されると、ユーザーが悪意のあるWebページを訪問するだけで感染する可能性があります。
今年発見された他の5件の脆弱性を見ると、特にロシアを標的とした攻撃に使用されたCVE-2025-2783の存在が興味深いところです。これは地政学的な緊張関係がサイバー空間にも波及していることの証左と言えるでしょう。
企業や組織にとって重要なのは、このような脆弱性への対応スピードです。Chromeは自動更新機能を備えていますが、企業環境では更新の承認プロセスや互換性テストなどで遅延が生じがちです。しかし、ゼロデイ脆弱性が既に悪用されている状況では、迅速な対応が求められます。
長期的な視点では、WebAssemblyやV8エンジンのような高性能なWeb技術の普及に伴い、攻撃対象となる領域も拡大しています。これらの技術は革新的なWebアプリケーションを可能にする一方で、新たなセキュリティリスクも生み出しているのが現実です。
【用語解説】
ゼロデイ脆弱性
発見されてからパッチが提供されるまでの期間(ゼロ日)に悪用される脆弱性のこと。攻撃者が先に発見し、ベンダーが対策を講じる前に悪用されるため極めて危険である。
タイプコンフュージョン(型混同)
プログラムがメモリ上のデータを間違った型として解釈してしまう脆弱性。本来は文字列として扱うべきデータを数値として処理してしまうなどの誤認識により、任意のコード実行が可能になる場合がある。
V8エンジン
GoogleがChromeブラウザ向けに開発したJavaScriptおよびWebAssemblyの実行エンジン。高速な処理性能を持つが、その複雑性ゆえに脆弱性の温床となりやすい。
WebAssembly
Webブラウザ上で高速に実行できるバイナリ形式のプログラミング言語。JavaScriptよりも高性能な処理が可能で、ゲームや画像処理などの重い処理をWeb上で実現できるが、その複雑性からセキュリティリスクも存在する。
CVE
Common Vulnerabilities and Exposuresの略称。脆弱性に付与される国際的な識別番号で、CVE-年-番号の形式で表記される。セキュリティ業界で共通の参照番号として使用される。
サンドボックス
プログラムを隔離された環境で実行し、システムの他の部分への影響を制限するセキュリティ機能。ブラウザでは悪意のあるWebページからの攻撃を防ぐために使用される。
【参考リンク】
Google Chrome(外部)
Googleが開発する世界シェア1位のWebブラウザ。自動更新機能やセキュリティ機能を備えている。
Google Threat Analysis Group (TAG)(外部)
Googleの脅威分析チーム。国家レベルの攻撃者を追跡しサイバーセキュリティ情報を公開。
【参考記事】
Google Patches Chrome Zero-Day CVE-2025-10585 as Attacks Underway(外部)
Google TAGが発見した6件目のゼロデイ脆弱性について、V8エンジンのタイプコンフュージョン脆弱性の技術的詳細を報告。
CVE-2025-10585 is the sixth actively exploited Chrome zero-day patched by Google in 2025(外部)
2025年に修正された6件のChromeゼロデイ脆弱性の一覧と、各脆弱性の技術的特徴について詳しく解説。
Chrome zero-day vulnerability CVE-2025-10585(外部)
CVE-2025-10585の修正版Chrome 140.0.7339.185/.186の詳細と、ユーザーが取るべき対策について具体的な手順を説明。
Google Issues Emergency Update For All Chrome Users – Attacks Underway(外部)
一般ユーザー向けに、緊急アップデートの重要性と具体的な更新手順を分かりやすく解説している記事。
【編集部後記】
今回のChromeゼロデイ脆弱性について、皆さんの職場ではどのような対応をされているでしょうか。特に企業環境では「すぐにアップデートしたいけれど、業務システムとの互換性が心配」という声をよく耳にします。
また、自宅のパソコンでは自動更新に任せきりという方も多いのではないでしょうか。今年6件目という異常な頻度を考えると、私たち一人ひとりがブラウザセキュリティについて考え直す時期に来ているかもしれません。皆さんは普段どのようなセキュリティ対策を取っていらっしゃいますか?ぜひ体験談や疑問をお聞かせください。
