Last Updated on 2025-05-20 21:36 by admin
Mozillaは2025年5月17日(米国時間)、同社のWebブラウザ「Firefox」に存在する2つの重大なセキュリティ脆弱性に対処するアップデートをリリースした。これらの脆弱性はいずれも2025年5月中旬にドイツのベルリンで開催されたハッキングコンテスト「Pwn2Own Berlin 2025」でゼロデイ攻撃として実証されたものである。
修正された脆弱性は以下の2つである:
CVE-2025-4918(CVE-2025-4920とも表記):Promiseオブジェクトを解決する際の境界外アクセスの脆弱性
CVE-2025-4919(CVE-2025-4921とも表記):線形和を最適化する際の境界外アクセスの脆弱性
これらの脆弱性が悪用されると、攻撃者は境界外の読み取りや書き込みを実行でき、機密情報へのアクセスやコード実行につながる可能性がある。深刻度は4段階中最高の「Critical」と評価されている。
影響を受けるバージョンは以下の通りである:
Firefox 138.0.4より前のすべてのバージョン(Android向けFirefoxを含む)
Firefox Extended Support Release(ESR)128.10.1より前のすべてのバージョン
Firefox ESR 115.23.1より前のすべてのバージョン
CVE-2025-4918はPalo Alto NetworksのEdouard BochinとTao Yanによって、CVE-2025-4919はManfred Paulによって発見された。両脆弱性の発見者には、Pwn2Own Berlinコンテストでそれぞれ5万ドル、合計10万ドルの報奨金が授与された。
Mozillaによれば、これらの攻撃はいずれもFirefoxのサンドボックスを突破することはできなかったが、すべてのユーザーと管理者に対して早急なアップデートを推奨している。特筆すべきは、2回目の脆弱性が実証されてから同日中にパッチがリリースされるという迅速な対応がなされた点である。
References:
Firefox Patches 2 Zero-Days Exploited at Pwn2Own Berlin with $100K in Rewards
【編集部解説】
今回のFirefoxの脆弱性パッチリリースは、ブラウザセキュリティの最前線で起きている攻防の一例として注目に値します。Pwn2Ownのようなハッキングコンテストは、セキュリティ研究者が製品の脆弱性を発見し、それを開発元に報告するという「責任ある開示」の場として機能しています。
特筆すべきは、Mozillaの対応の速さです。複数の情報源によると、2回目の脆弱性が実証されてから数時間以内にパッチをリリースしており、これはセキュリティインシデントへの対応としては極めて迅速と言えます。昨年のPwn2Ownでも21時間以内の対応で「最速パッチ賞」を獲得しており、Mozillaのセキュリティ対応の高い水準が継続していることがわかります。
今回の脆弱性はいずれもJavaScriptエンジンに関連するもので、Webブラウザの中核部分に影響します。JavaScriptはほぼすべてのWebサイトで使用されている言語であり、その処理エンジンの脆弱性は広範な影響を持ちます。
重要なのは、これらの脆弱性がFirefoxのサンドボックスを突破できなかった点です。サンドボックスとは、ブラウザのプロセスをシステムの他の部分から隔離する保護機能です。Mozillaの公式ブログによると、過去1年間でこのサンドボックス機能を強化してきたことが、今回の攻撃の影響を限定的にした要因とされています。
ブラウザのセキュリティは階層的な防御構造になっています。まず最初の防御線はJavaScriptエンジンなどのコンテンツ処理部分、次の防御線がサンドボックスです。今回の脆弱性は最初の防御線を突破しましたが、2番目の防御線で阻止されました。これは、多層防御(Defense in Depth)という重要なセキュリティ原則が実際に機能していることを示しています。
報道によれば、今回の攻撃ではFirefoxのタブが乗っ取られ、「メモ帳」や「電卓」アプリが実行されるデモが行われましたが、OS全体を乗っ取るところまでは至りませんでした。
このような脆弱性が実際に悪用された場合、ユーザーがマルウェアを配布するWebサイトを訪問するだけで、ブラウザ内でコードが実行される可能性があります。これにより、ブラウザ内の情報(閲覧履歴、保存されたパスワードなど)が漏洩するリスクがあります。
今回の事例は、オープンソースソフトウェアのセキュリティモデルが効果的に機能していることも示しています。脆弱性が発見され、報告され、迅速に修正されるというサイクルが、ユーザーの保護に貢献しています。
企業や個人ユーザーにとっての教訓は、ブラウザを含むすべてのソフトウェアを常に最新の状態に保つことの重要性です。自動アップデートを有効にするか、定期的に手動でアップデートを確認することをお勧めします。
【用語解説】
ゼロデイ脆弱性(Zero-day vulnerability):
ソフトウェアの脆弱性が発見された時点で、すでに攻撃者によって悪用されている状態のこと。開発者が対策を講じる「0日目」に攻撃が始まっているため、この名称がある。
Pwn2Own:
世界的に有名なハッキングコンテスト。セキュリティ研究者がソフトウェアやハードウェアの脆弱性を実証し、報奨金を獲得する場。「Pwn」はハッカー用語で「完全に制御する」という意味と「own(所有する)」をかけた言葉。2025年のベルリン大会では、主要なエンタープライズプラットフォームの脆弱性発見に対して総額43万5000ドルの報奨金が支払われた。
サンドボックス:
コンピュータセキュリティにおいて、プログラムを隔離された環境で実行する技術。砂場(sandbox)で遊ぶ子供のように、外部に影響を与えずに安全に動作させることができる。
JavaScriptエンジン:
Webブラウザ内でJavaScriptコードを実行するためのソフトウェアコンポーネント。Firefoxの場合は「SpiderMonkey」と呼ばれる。
境界外アクセス(Out-of-bounds access):
プログラムがメモリの割り当てられた範囲を超えてデータを読み書きしようとする問題。
Mozilla Foundation:
Firefoxを開発する非営利団体。インターネットの健全性と開放性を守ることを使命としている。
【参考リンク】
Mozilla公式サイト(外部)
Firefoxブラウザを開発する非営利団体Mozillaの公式サイト。プライバシーを重視した各種製品を提供
Firefox公式サイト(外部)
Firefoxブラウザのダウンロードや機能紹介を行っている公式サイト。最新バージョンの入手方法を解説
Mozilla Security Blog(外部)
Mozillaのセキュリティチームによるブログ。セキュリティアップデートや脆弱性情報を詳細に解説
【参考動画】
【編集部後記】
皆さん、普段何気なく使っているブラウザのアップデート通知、見逃していませんか?今回のFirefoxの事例は、私たちが安全にインターネットを利用するために水面下で行われている攻防の一端を示しています。サイバーセキュリティの世界では、研究者と開発者が協力して脆弱性を発見・修正する「良い攻撃」と、悪意ある攻撃者による「悪い攻撃」の競争が常に行われています。お使いのブラウザは最新版ですか?セキュリティ対策は面倒と感じることもありますが、デジタル生活を守る鍵となります。皆さんはどのようなセキュリティ対策を実践していますか?
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
