グーグルは、Chrome(クローム)ブラウザーが攻撃を受ける可能性があるとして注意喚起を行った。同時に、ハッカーがログイン認証情報を盗み、多要素認証(MFA)を回避できる脆弱性を修正するための緊急パッチをリリースした。この問題は深刻であり、直ちに修正することが不可欠だ。米国政府は米国時間6月5日までにすべての連邦職員がアップデートを行うよう義務づけた。家庭であれ企業であれ、同様に対処すべきである。
アメリカのサイバー防衛機関であるCISA(Cybersecurity and Infrastructure Security Agency)は、すべての連邦機関の職員に対し「ベンダーの指示に従って対策を適用するか、対策が利用できない場合は製品の使用を中止せよ」と通達している。つまり、米国時間6月5日までにアップデートするか、それが完了するまではブラウザの使用を停止する必要があるという意味だ。
この正式な命令は連邦職員にのみ適用されるが、CISAの任務は「脆弱性の管理を支援し、脅威の動向に対応できるようにする」ことであり、すべての組織に助言を行う立場にある。この脅威の性質を考えれば、連邦機関に限らずすべてのユーザーが今すぐ対応すべきである。CISAは頻繁に同様の命令を発しているが、Chromeのインストール数が極めて多く、今回の脆弱性が既に公に知られていることを踏まえると、できるだけ早く対策を講じることがきわめて重要だ。
拘束力をもつ運用指令は連邦職員向けではあるものの、CISAは「カタログに掲載される脆弱性を迅速に修正することで、サイバー攻撃への露出を減らすよう、すべての組織に強く促す」と再三強調している。
グーグルが「CVE-2025-4664」に対して行った修正には「既に実際に悪用されている可能性がある」という警告が添えられている。これは、X上で@slonser_が指摘したもので、「コミュニティ内であまり広く知られていない手法」によってクエリーパラメーターを乗っ取ることが可能であり、文字列に含まれる機密データを悪用できるという報告に基づく。とりわけ、クエリーパラメーターが盗まれた場合、「OAuthフローでは、アカウント乗っ取りにつながる可能性がある」とされている。
A fix from Google was released today. Part of the issue was due to my misunderstanding based on previous reports.
— slonser (@slonser_) May 14, 2025
Big thanks to chromium team for the quick resolve
I hope everyone had some fun, and apologies to the triagers on HackerOne XD https://t.co/98GXxbvpaf pic.twitter.com/oyRYqTie41
これは、ユーザーがあるサービスにログインしたあと、Chromeが保持するセキュリティセッション認証情報を含む文字列を盗み取れることを意味する。攻撃者はこの情報を用いて、自身の端末で被害者のセッションを再現できる。
セキュリティ系メディアのSC Mediaによれば、「この脆弱性がKEV(Known Exploited Vulnerabilities)カタログに掲載されたという事実は、攻撃者がすでにこの欠陥を悪用しようと試みた可能性を示唆している」という。ただし、「今回報告された攻撃手法が公開された概念実証(PoC)に基づくものか、あるいは独自に脆弱性を見つけた悪意ある攻撃者が実際の攻撃を開始しているのかは不明だ。いずれにせよ、脆弱性が公知となった今が最も危険な時期である。攻撃者はブラウザーの修正が行われる前に攻撃を仕掛けるからだ」。
🛡️ We added DrayTek Vigor, SAP NetWeaver, and Google Chromium vulnerabilities CVE-2024-12987, CVE-2025-42999 & CVE-2025-4664 to our Known Exploited Vulnerabilities Catalog. Visit https://t.co/myxOwap1Tf & apply mitigations to protect your org from cyberattacks. #KEVCatalog pic.twitter.com/29Nax1joW5
— CISA Cyber (@CISACyber) May 15, 2025
