Last Updated on 2025-05-17 12:31 by admin
Googleは2025年5月14日(米国時間)、Webブラウザ「Chrome」のセキュリティアップデートをリリースした。このアップデートでは4件のセキュリティ問題が修正され、そのうち高度な重要度の脆弱性「CVE-2025-4664」(CVSSスコア:4.3)については、既に悪用が確認されている。
この脆弱性は「Loader」というコンポーネントにおけるポリシー強制の不十分さに起因するもので、リモートの攻撃者が細工されたHTMLページを通じてクロスオリジンデータを漏洩させることが可能になる。セキュリティ研究者のVsevolod Kokorin氏(@slonser_)が2025年5月5日にXで詳細を公開したことをきっかけに明らかとなった。
Kokorin氏によれば、「他のブラウザとは異なり、ChromeはサブリソースリクエストにおいてLinkヘッダーを解決し、このLinkヘッダーがリファラーポリシーを設定できる」という問題がある。攻撃者は「unsafe-url」を指定することで完全なクエリパラメータを取得でき、これにはOAuthなどの認証フローで使用される機密データが含まれる可能性があり、アカウントの完全な乗っ取りにつながるリスクがある。
今回のアップデートでは、Windows/Mac向けには「Chrome 136.0.7103.113/.114」、Linux向けには「Chrome 136.0.7103.113」がリリースされた。Googleは今後数日から数週間をかけてアップデートを展開していく予定である。
Microsoft Edge、Brave、Opera、Vivaldiなど、他のChromiumベースのブラウザのユーザーも、利用可能になり次第修正を適用することが推奨されている。
References:
New Chrome Vulnerability Enables Cross-Origin Data Leak via Loader Referrer Policy
【編集部解説】
今回のChromeの脆弱性「CVE-2025-4664」は、ブラウザセキュリティにおける重要な問題を浮き彫りにしています。この脆弱性は単なるバグではなく、Webの基本的な安全性モデルである「同一オリジンポリシー」を迂回できてしまう深刻な問題です。
特に注目すべきは、この脆弱性が既に野生環境で悪用されている点です。Googleは「exploit in the wild」という表現を使用していますが、これは通常、実際の悪意ある攻撃で使用されていることを示唆しています。SecurityWeekの報道によれば、これが実際のゼロデイ攻撃なのか、単に公開された悪用コードの存在を指しているのかは明確ではありません。
技術的な観点から見ると、この脆弱性の巧妙さは注目に値します。Chromeのローダーコンポーネントが、他のブラウザとは異なり、サブリソースリクエストでLinkヘッダーを解決する仕様になっていたことが問題でした。これにより攻撃者は「unsafe-url」というリファラーポリシーを設定し、クエリパラメータを取得できてしまいます。
この脆弱性が特に危険なのは、OAuthなどの認証フローで使用されるクエリパラメータに含まれる機密情報を盗み出せる点です。多くの開発者は、サードパーティリソースからの画像を介してクエリパラメータが盗まれる可能性を考慮していないため、この攻撃手法は特に効果的だったと言えるでしょう。
セキュリティ研究者のVsevolod Kokorin氏がこの脆弱性を発見し、5月5日にXで公開したことは、責任ある脆弱性開示の観点から議論を呼ぶかもしれません。通常、深刻な脆弱性は修正プログラムがリリースされるまで非公開にされることが多いですが、今回のケースでは公開から修正までに約9日かかっています。
この脆弱性は、現代のWebアプリケーションがいかに複雑になり、セキュリティモデルの維持が難しくなっているかを示しています。ブラウザは今や単なる表示ツールではなく、複雑なアプリケーションプラットフォームとなっており、その複雑さゆえに新たな脆弱性が生まれる余地が増えています。
ユーザーとしては、ブラウザの自動アップデート機能を有効にしておくことが最も効果的な対策です。また、開発者の視点では、認証情報をURLクエリパラメータに含めることの危険性を再認識し、より安全な認証方法を検討する必要があるでしょう。
今回の事例は、Chromiumベースの他のブラウザ(Microsoft Edge、Brave、Opera、Vivaldiなど)にも影響する可能性があり、エコシステム全体のセキュリティ更新の重要性を改めて示しています。
最後に、この脆弱性はCVSSスコアが4.3と比較的低めですが、アカウント乗っ取りにつながる可能性があるという点で実際の影響は大きいと考えられます。セキュリティの評価は単純な数値だけでなく、実際の攻撃シナリオとその影響を総合的に判断することの重要性を示す事例と言えるでしょう。
【用語解説】
クロスオリジンデータ漏洩:
異なるウェブサイト間でデータが不正に共有される問題。
CVE(Common Vulnerabilities and Exposures):
セキュリティ上の脆弱性に付けられる国際的な識別番号。CVE-2025-4664のような形式で表記される。
CVSSスコア:
脆弱性の深刻度を0.0〜10.0の数値で表す指標。4.3は中程度の脆弱性だが、実際の影響は大きい場合がある。
リファラーポリシー:
ウェブページがリンク先に対して、どの程度の参照元情報を送信するかを制御する仕組み。「unsafe-url」は最も制限の緩いポリシーで、完全なURL情報を送信してしまう。
Loader:
Chromeブラウザ内でウェブページのリソース(画像やスクリプトなど)を読み込む役割を担うコンポーネント。
同一オリジンポリシー:
ウェブセキュリティの基本原則で、あるウェブサイトが別のサイトのデータに勝手にアクセスできないようにする仕組み。
OAuth:
ユーザーがパスワードを共有せずに、第三者アプリケーションに自分のアカウントへのアクセス権を付与できる認証の仕組み。「Googleアカウントでログイン」などの機能で使われている。
【参考リンク】
Google Chrome(外部)
Googleが開発する世界で最も人気のあるウェブブラウザ。速さ、セキュリティ、カスタマイズ性を特徴としている。
Microsoft Edge(外部)
Chromiumベースのマイクロソフトの最新ブラウザ。Windows、macOS、iOS、Androidで利用可能。
【参考動画】
【編集部後記】
みなさんは普段使っているブラウザのアップデートをどのくらいの頻度で確認していますか?今回のChromeの脆弱性のように、時にはアカウント情報が漏洩するリスクがあるケースも存在します。ブラウザは私たちのデジタルライフの入口であり、多くの個人情報を扱う重要な窓口です。「設定」から簡単にバージョン確認ができますので、この機会に一度確認してみてはいかがでしょうか。また、普段のウェブ閲覧でどのような情報がURLに含まれているか、意識したことはありますか?セキュリティの世界は日々進化しています。皆さんのデジタルライフを守るための第一歩として、定期的なアップデートを習慣にしてみませんか?
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
