Last Updated on 2025-06-18 09:48 by TaTsu
Google Chromeのゼロデイ脆弱性CVE-2025-2783がTaxOffというハッキンググループによって悪用され、Trinperバックドアの展開に使用された。
この攻撃は2025年3月中旬にPositive Technologiesによって観測され、CVSSスコア8.3のサンドボックス回避脆弱性を利用していた。
Kasperskyが2025年3月にGoogleに報告し、Googleは3月25日にバージョン134.0.6998.177/.178でパッチをリリースした。
攻撃はプリマコフ・リーディングス・フォーラムへの招待状を装ったフィッシングメールから開始され、被害者がリンクをクリックするだけでワンクリック攻撃が発動する仕組みだった。
TaxOffは2024年11月下旬にKasperskyによって初めて文書化されたグループで、ロシア国内の政府機関を標的としている。
C++で書かれたTrinperバックドアはマルチスレッドを使用し、キーストローク記録、特定拡張子ファイル収集、リモートサーバーとの通信を行う。この攻撃活動はKasperskyによって「Operation ForumTroll」と命名された。
From: 
Google Chrome Zero-Day CVE-2025-2783 Exploited by TaxOff to Deploy Trinper Backdoor
【編集部解説】
今回のCVE-2025-2783は、単なるブラウザの脆弱性を超えた、現代のサイバー攻撃の高度化を象徴する事案です。この脆弱性は「サンドボックス回避」という特殊な技術を使用しており、従来のセキュリティ境界を無効化する点で極めて深刻な意味を持ちます。
サンドボックスとは、プログラムを隔離された環境で実行し、システム全体への影響を防ぐ仕組みのことです。今回の攻撃では、Kasperskyの研究者が「まるでセキュリティ境界が存在しないかのように」突破されたと表現するほど巧妙でした。
特に注目すべきは、この攻撃が「ワンクリック」で完結する点です。従来のマルウェア感染では複数の段階を経る必要がありましたが、被害者がリンクをクリックするだけで即座にシステムが侵害される仕組みは、攻撃の敷居を大幅に下げています。
Trinperバックドアの技術的特徴も見逃せません。C++で書かれたこのマルウェアは、マルチスレッド技術を活用して複数の処理を並行実行し、検知を回避しながら効率的にデータを窃取します。5層の暗号化システムとChaCha20、BLAKE2bハッシュアルゴリズムを組み合わせた高度な暗号化技術により、解析を困難にしている点も巧妙です。
この事案が示すのは、国家支援型攻撃グループ(APT)の能力向上です。TaxOffとTeam46が同一グループである可能性が高いとの分析もあり、長期的な戦略に基づいた持続的な攻撃活動が展開されています。
影響範囲の広さも深刻な懸念材料となります。ChromeはWindows、macOS、Linuxの全プラットフォームに影響し、ChromiumベースのブラウザであるEdge、Brave、Opera、Vivaldiなども影響を受ける可能性があります。特に政府機関や教育機関、メディア企業が標的とされている点は、社会インフラへの脅威を示唆しています。
一方で、この事案はセキュリティ業界の連携体制の有効性も証明しました。Kasperskyによる迅速な発見と報告、Googleの迅速な修正対応は、官民連携によるサイバーセキュリティ対策の重要性を示しています。
長期的な視点では、ゼロデイ脆弱性を活用した攻撃の常態化が予想されます。企業や組織には、従来のパッチ管理に加えて、行動分析やサンドボックス技術を組み合わせた多層防御の構築が求められるでしょう。
規制面では、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が本脆弱性を既知の悪用脆弱性カタログに追加し、政府機関に対して迅速な対応を義務付けています。これは重要インフラ事業者に対するセキュリティ要件の強化や、ゼロデイ脆弱性の取引に関する国際的な規制議論の加速を示唆しています。
【用語解説】
CVE-2025-2783
Common Vulnerabilities and Exposuresの略で、2025年に発見されたGoogle Chromeの脆弱性識別番号である。CVSSスコア8.3の高い深刻度を持つサンドボックス回避脆弱性で、ChromeのMojoコンポーネントにおける不正なハンドル処理により保護機構をすり抜けることができる。
サンドボックス
プログラムを隔離された環境で実行し、システム全体への影響を防ぐセキュリティ機能である。Chromeのサンドボックスは堅牢なセキュリティ機能とされていたが、今回の脆弱性では「まるで存在しないかのように」突破された。
Trinper
C++で書かれたマルチスレッド対応のバックドア型マルウェアである。キーストローク記録、特定拡張子ファイル収集、リモートサーバーとの通信機能を持ち、5層の暗号化システムとChaCha20、BLAKE2bハッシュアルゴリズムを使用した高度な設計が特徴である。
Operation ForumTroll
Kasperskyが命名したサイバー諜報キャンペーンの作戦名である。プリマコフ・リーディングス・フォーラムへの招待状を装ったフィッシングメールを使用し、ロシアのメディア、教育機関、政府組織を標的とした。
APT(Advanced Persistent Threat)
高度で持続的な脅威を意味し、通常は国家支援を受けたハッキンググループを指す。長期間にわたって標的システムに潜伏し、継続的な情報窃取や破壊活動を行う特徴がある。
ゼロデイ脆弱性
セキュリティベンダーや開発者がまだ認識しておらず、修正パッチが提供されていない脆弱性である。攻撃者のみが知る状態のため、防御が困難で極めて危険とされる。
Mojo
Chromeのプロセス間通信(IPC)ライブラリである。今回の脆弱性では、不正なハンドルが特定の状況下で適切に検証されずに受け入れられてしまう問題があった。
【参考リンク】
Google Chrome(外部)
Googleが開発した高速、安全でカスタマイズ可能な公式ウェブブラウザ。
Kaspersky(外部)
CVE-2025-2783を発見しGoogleに報告したサイバーセキュリティ企業。
Positive Technologies(外部)
TaxOffグループの活動を詳細に分析したロシアのセキュリティ企業。
CISA(外部)
CVE-2025-2783を既知の悪用脆弱性カタログに追加した米国機関。
【参考記事】
Team46 (TaxOff) Exploits Google Chrome Zero-Day(外部)
Team46とTaxOffが同一グループである可能性を示す分析レポート。
CVE-2025-2783 Detail – National Vulnerability Database(外部)CVE-2025-2783の公式な脆弱性情報と技術的詳細を記載。
Google Chrome 0-Day Vulnerability Exploited by APT Hackers(外部)
APTグループによる高度な攻撃手法とTrinperマルウェアの詳細分析。
【編集部後記】
今回のChromeゼロデイ攻撃を見て、皆さんはどのような対策を取られていますか?私たちも日々ブラウザを使う中で、「まさか自分が」という思いがありますが、実際にワンクリックで感染する現実を目の当たりにすると、改めてセキュリティの重要性を感じます。
皆さんの組織では、このような高度な攻撃に対してどのような備えをされているでしょうか?また、個人レベルでできる対策として、どのようなことを実践されていますか?特に、フィッシングメールの見分け方や、怪しいリンクを避ける方法について、皆さんの経験や工夫があれば、ぜひ共有していただきたいと思います。
サイバーセキュリティは私たち全員にとって身近な課題です。一緒に学び、より安全なデジタル環境を築いていけたらと思います。
