マイクロソフトがユーザーをEdgeへ移行させようと努めているにもかかわらず、Windowsユーザーの大多数は標準ブラウザとしてChromeを使い続けている。そうしたユーザー全員がChromeを更新しなければならなくなったのは、グーグルが新たなゼロデイ脆弱性が「実際に悪用されている」と警告したためだ。緊急アップデートは米国時間3月27日にリリースされた。利用者はただちにインストールする必要がある。
この脆弱性は今月、カスペルスキーによって発見された。同社のチームは「これまでに知られていなかった高度で洗練されたマルウェアによる感染が広がっている」と警告している。攻撃はメールのリンクを介して行われるものであり、「リンクをクリックするだけで感染します。」と同社は述べている。
現在、 米国のサイバー防衛機関であるCISA(Cybersecurity and Infrastructure Security Agency)も独自の警告を発しており、「4月17日までにChromeを更新するか、更新できない場合はプロダクトの使用を中止してください」と呼びかけている。この指示は連邦政府職員を対象とするものだが、同機関は公共・民間を問わずあらゆる組織に従うよう勧告している。CISAの使命は「すべての組織が脆弱性をより適切に管理し、脅威の動向に対応できるよう支援すること」だからだ。
Chromeだけでなく、Firefoxを提供するMozillaも警告を発している。「最近起きたChromeのサンドボックス回避攻撃を受けて、複数のFirefox開発者が我々のIPC(プロセス間通信)コードの中に似たパターンを確認しました。侵害された子プロセスが、親プロセスに意図せず強力なハンドルを返させてしまい、サンドボックスを回避できる可能性があります。元の脆弱性は実際に悪用されていました」とのことだ。
Windows向けChromeの安定版デスクトップは、CVE-2025-2783を修正するためにバージョン134.0.6998.177/.178へ更新されている。今すぐアップデートを確認し、ダウンロードが完了したら、ブラウザを再起動して修正を適用する必要がある(macOSユーザーもブラウザを同様にアップデートする必要がある)。一方、MozillaはFirefoxの対応に関して、「この脆弱性はWindows版のFirefoxにのみ影響し、他のオペレーティングシステムは影響を受けません」という。
報道によると、現時点での攻撃は高度に標的を絞って行われているようだが、パッチが公開されたことで、まだ攻撃が通用するうちは攻撃の範囲が拡大すると考えられる。いつものことだが、特定の標的を狙う攻撃手段は洗練度の低い攻撃者の手にも比較的早く渡りがちである。
カスペルスキーは「この攻撃手段は、これまでに遭遇した中でも特に興味深いものの1つです。明らかに悪意のある、あるいは禁止されている操作を行うことなく、あたかもChromeのサンドボックス保護が存在しないかのように回避できたのです」と述べている。また、攻撃者の正体については「国家支援のAPT(Advanced Persistent Threat)グループが背後にいると自信を持って断定できます」としている。
今回の新たな攻撃は、この攻撃手段と、まだ特定されておらず修正もされていない別の脆弱性とを連鎖させたものだ。しかし、いまChromeを更新しておけば、少なくとも現在報告されている攻撃を防ぐことができる。