出典: Security NEXT – https://www.security-next.com/177414
米当局が「Chromium」ゼロデイ脆弱性に警戒を呼びかけ
2025年11月、ブラウザの基盤技術である「Chromium」のスクリプトエンジン「V8」に、悪用が確認されたゼロデイ脆弱性が発見されました。米サイバーセキュリティ当局は、同脆弱性への迅速な対応と注意喚起を行っています。
主要なポイント
- 脆弱性の概要:「V8」に存在する型の取り違えによる脆弱性「CVE-2025-13223」が判明し、悪用が確認されています。
- セキュリティ評価:共通脆弱性評価システムCVSSv3.1でベーススコア8.8の「高」評価を受けています。
- 米当局の対応:米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は「悪用が確認された脆弱性カタログ(KEV)」に追加し、行政機関に対策を指示しました。
- ブラウザへの影響:ChromiumをベースとしたMicrosoft Edgeを含む多くのブラウザに影響が及び、マイクロソフトは即日アップデートをリリースしました。
- ユーザーへの注意喚起:各ブラウザベンダーのアップデート情報を注視し、速やかな更新が推奨されています。
技術的な詳細や背景情報
ChromiumはGoogleが開発するオープンソースのウェブブラウザプロジェクトで、多くの主要ブラウザの基盤となっています。その中核をなす「V8」はJavaScriptの実行エンジンであり、ウェブページ上のスクリプトを高速に処理します。
今回の脆弱性「CVE-2025-13223」は、型の取り違え(Type Confusion)に起因するもので、プログラムが期待するデータ型と異なる型のデータを扱うことで、メモリの不正操作やコード実行が可能になる恐れがあります。こうした脆弱性は攻撃者にとって非常に危険で、悪用されるとシステムの制御を奪われるリスクがあります。
Googleは同時に「CVE-2025-13224」という別の脆弱性も修正しており、これらは2025年11月17日にセキュリティアドバイザリとして公開されました。CISAは11月19日に「CVE-2025-13223」をKEVに登録し、政府機関をはじめとした関係者に対策を促しています。
影響や重要性
ChromiumはGoogle Chromeだけでなく、Microsoft EdgeやOpera、Braveなど多くのブラウザの基盤技術として採用されています。そのため、この脆弱性は広範囲に影響を及ぼす可能性があります。
特に、ゼロデイ脆弱性とは、開発者やベンダーが認識する前に既に攻撃者に悪用されている脆弱性を指し、発見から修正までの期間に被害が拡大しやすい点が特徴です。今回のように悪用が確認されている場合、迅速なアップデート適用がセキュリティ確保の鍵となります。
また、政府機関や企業などの重要インフラにおいては、CISAの指示に従い指定期間内に対策を実施することが求められており、広く一般ユーザーにも同様の注意が必要です。
まとめ
Chromiumのスクリプトエンジン「V8」に存在するゼロデイ脆弱性「CVE-2025-13223」は、既に悪用が確認されている深刻な問題です。米当局は行政機関を中心に対策を促すとともに、一般ユーザーにもブラウザのアップデートを速やかに行うよう呼びかけています。
Chromiumベースのブラウザを利用している場合は、各ベンダーの公式アナウンスやアップデート情報をこまめに確認し、最新のセキュリティパッチを適用することが重要です。安全なウェブ利用のために、常に脆弱性情報に注意を払いましょう。
