セキュリティ研究者Jose Pinoが、ChromiumのBlinkレンダリングエンジンに未パッチの重大な脆弱性を発見した。
この脆弱性を悪用する概念実証エクスプロイト「Brash」は、Chromiumベースのブラウザを15秒から60秒でクラッシュさせることができる。StatCounterによると、Chromeは世界市場シェアの70%以上を占め、ITUの統計では55億人のインターネットユーザーのうち30億人以上がChromeを使用している。
PinoはAndroid、macOS、Windows、Linux上の11の主要ブラウザでテストし、Chrome、Edge、Vivaldi、Arc、Opera、ChatGPT Atlas、Braveなどで脆弱性を確認した。影響を受けるのはChromiumバージョン143.0.7483.0以降である。攻撃はdocument.title API更新のレート制限の欠如を悪用し、1秒あたり約2400万回の更新を試行してメインスレッドを飽和させる。
Pinoは8月28日にChromiumセキュリティチームに開示したが応答がなく、2か月後にPoCを公開した。FirefoxとSafariは影響を受けない。
From: 
Security hole slams Chromium browsers – no fix yet
【編集部解説】
今回のBrash脆弱性が特に注目すべき点は、その攻撃手法の単純さと影響範囲の広さのギャップにあります。document.title APIという極めて基本的なWeb APIに対するレート制限の欠如を突くだけで、30億人以上が使用するブラウザをクラッシュさせられるという事実は、現代のブラウザエンジンの設計における盲点を浮き彫りにしています。
この脆弱性の深刻さは、技術的な側面だけでなく、ガバナンスの問題としても捉えるべきでしょう。Jose Pino氏が8月28日に責任ある開示を行ったにもかかわらず、2か月以上経過しても対応がなされなかった点は、オープンソースプロジェクトにおけるセキュリティ対応の課題を示しています。
技術的な観点から見ると、この攻撃はDOM(Document Object Model)の変異を毎秒2400万回という異常な頻度で発生させることで、ブラウザのメインスレッドを飽和状態に追い込みます。通常、Webアプリケーションでは1秒間に数十から数百回程度のDOM操作が一般的であり、これほど極端な負荷は想定されていませんでした。
興味深いのは、FirefoxのGeckoエンジンとSafariのWebKitエンジンは影響を受けないという点です。これは、Blinkエンジン特有のアーキテクチャ設計、特にリソース管理の方針に起因すると考えられます。Chromiumの多プロセスアーキテクチャは一般的にセキュリティ向上に寄与していますが、今回のようなリソース枯渇攻撃に対しては十分な防御機構が備わっていなかったことになります。
実際の被害シナリオとしては、フィッシングメールに含まれる悪意のあるリンクや、攻撃者が侵入したWebサイトに仕込まれたJavaScriptコードを通じて展開される可能性があります。ランサムウェアのような直接的な金銭被害には繋がりませんが、重要な作業中にブラウザがクラッシュすれば、未保存のデータ損失や業務の中断といった間接的な経済損失が発生します。
2025年第1四半期のデータでは、アプリケーション層(L7)に対するDoS攻撃が前年比74%増加しているという報告もあり、Brashのような手法は攻撃者にとって魅力的な選択肢となる可能性があります。特に、この攻撃はブラウザだけでなく、テスト環境ではホストシステム全体を約30秒でフリーズさせ、単一タブで18GBものRAMを消費したという報告もあります。
Chromiumベースのブラウザを採用する各企業が独自のカスタマイズを施しているため、統一的なパッチの提供と適用が困難となるという指摘も重要です。これは、オープンソースエコシステムにおけるセキュリティパッチの配布と適用の複雑さを示しており、今後のブラウザ開発における課題となるでしょう。
【用語解説】
Blink(ブリンク)
Chromiumが採用するレンダリングエンジン。WebページのHTMLやCSSを解釈し、画面上に表示する役割を担う。2013年にWebKitから派生して開発された。
DoS攻撃(Denial of Service attack)
サービス拒否攻撃。システムやネットワークに過剰な負荷をかけることで、正常なサービス提供を妨害する攻撃手法。
PoC(Proof of Concept)
概念実証。脆弱性や新技術が実際に動作することを示すための実証コードやプログラム。
document.title API
WebページのタイトルをJavaScriptから取得・変更するためのAPI。ブラウザのタブやウィンドウのタイトルバーに表示される文字列を操作する。
Gecko(ゲッコー)
Mozilla Firefoxが採用するレンダリングエンジン。Blinkとは異なるアーキテクチャを持つ。
WebKit(ウェブキット)
Apple Safariが採用するレンダリングエンジン。iOSのすべてのブラウザはAppleのポリシーによりWebKitの使用が義務付けられている。
【参考リンク】
The Chromium Projects(外部)
Chromiumプロジェクトの公式サイト。開発状況や技術文書、セキュリティ情報を提供。
Blink (Rendering Engine) – Chromium(外部)
Chromiumが採用するBlinkレンダリングエンジンの公式ドキュメント。アーキテクチャや技術仕様の詳細情報。
Google Chrome(外部)
世界シェア70%以上のWebブラウザ。Chromiumをベースに開発されている。
Microsoft Edge(外部)
MicrosoftがChromiumベースで開発するWebブラウザ。Windows環境との深い統合が特徴。
Brave Browser(外部)
プライバシー保護に特化したChromiumベースのブラウザ。広告ブロック機能を標準搭載。
Mozilla Firefox(外部)
独自のGeckoエンジンを採用するオープンソースブラウザ。Brash脆弱性の影響を受けない。
Brash – GitHub Repository(外部)
Jose Pino氏が公開したBrash脆弱性の概念実証コード。技術的詳細を含む。
【参考記事】
Chromium Browser DoS Attack via document.title Exploitation(外部)
Jose Pino氏本人による投稿。脆弱性の技術的詳細と11ブラウザでのテスト結果を解説。
RenderingNG architecture – Chrome for Developers(外部)
Chromiumの公式技術文書。Blinkレンダリングエンジンのアーキテクチャを詳細に解説。
Global DDoS Attack Statistics: Q1 2025 Report(外部)
2025年第1四半期のDDoS攻撃統計。L7攻撃が前年比74%増加したことを報告している。
【編集部後記】
今回のBrash脆弱性は、私たちが日常的に使っているブラウザの安全性について改めて考える機会を与えてくれました。皆さんは普段、どのブラウザを使われていますか?ブラウザを選ぶ際、デザインや速度だけでなく、セキュリティやプライバシー保護の観点も重要だと感じています。
FirefoxやSafariのように異なるレンダリングエンジンを採用するブラウザの存在意義を、今回のような事例が示してくれているのかもしれません。また、責任ある開示が機能しなかった場合、研究者はどう行動すべきかという難しい問いも投げかけられています。皆さんはこの問題をどう捉えますか?
