2025年12月10日、GoogleはChromeブラウザ向けに緊急のセキュリティアップデートを公開しました。このアップデートには3つのセキュリティ脆弱性に対するパッチが含まれていましたが、中でも特に注目されたのは、既に「in the wild」で活発に悪用されているとされる高 severity のゼロデイ脆弱性でした。この事態は、世界で最も広く利用されているウェブブラウザの一つであるChromeのセキュリティ体制に深刻な懸念を投げかけています。
今回のゼロデイ脆弱性は、2025年に入ってからGoogleが修正を余儀なくされた8件目の事例となります。この驚くべき数字は、攻撃者たちがChromeの未発見の脆弱性を執拗に探し出し、悪用している現状を浮き彫りにしています。ユーザーは、自身のデジタル資産とプライバシーを守るため、この緊急パッチを速やかに適用することが強く推奨されています。
Googleは、この高 severity のゼロデイ脆弱性について、当初は内部トラッカーID「466192044」としてのみ言及し、詳細な情報公開を控えていました。これは、悪意あるアクターがパッチをリバースエンジニアリングして新たなエクスプロイトを開発するのを防ぎ、より多くのユーザーが修正を適用する時間を確保するための一般的な措置です。しかし、この情報統制は、脅威の具体的な性質に対する憶測を呼ぶことにもなりました。
この一連の動きは、現代のサイバーセキュリティ環境におけるゼロデイ攻撃の深刻な脅威を改めて示しています。特に、数百万、数十億のユーザーが利用するプラットフォームにおけるゼロデイは、広範な被害をもたらす可能性を秘めており、その発見と修正は常に時間との戦いです。今回の緊急パッチは、その戦いの最前線でGoogleが直面している現実を物語っています。
当初、その正体が秘匿されていたゼロデイ脆弱性「466192044」は、その後の情報更新により、CVE-2025-14174として正式に追跡されることになりました。この脆弱性は、Googleのオープンソースライブラリである「LibANGLE」に起因するものであることが、ChromiumのバグIDと関連するGitHubコミットから明らかになっています。具体的には、ANGLEのMetalレンダラーにおける不適切なバッファサイジングが原因で、バッファオーバーフローが発生する可能性が指摘されました。
この種のバッファオーバーフローは、メモリ破損、プログラムのクラッシュ、機密情報の漏洩、さらには任意のコード実行といった深刻な結果を招く可能性があります。攻撃者が細工されたHTMLページを介してこの脆弱性を悪用することで、ユーザーのシステム上で悪意のあるコードを実行し、完全な制御を奪うことも理論上は可能です。これは、単なるブラウザの不具合にとどまらない、システム全体のセキュリティを脅かす重大な欠陥と言えるでしょう。
この脆弱性は、Apple Security Engineering and Architecture (SEAR) とGoogle Threat Analysis Group (TAG) の両者によって、2025年12月5日にGoogleに報告されました。複数の著名なセキュリティチームが関与しているという事実は、この脆弱性の発見が容易ではなかったこと、そしてその潜在的な影響の大きさを物語っています。特にGoogle TAGは、国家支援型アクターや商業スパイウェアの脅威を専門とするチームであり、彼らの関与は、このゼロデイが悪質な標的型攻撃に利用されている可能性を強く示唆しています。
ANGLEライブラリは、OpenGL ESグラフィックスコールをDirect3D、Vulkan、Metalなどの他のAPIに変換する役割を担っており、OpenGL ESアプリケーションがネイティブサポートされていないシステムや、代替グラフィックスAPIがより優れたパフォーマンスを提供するシステムで動作することを可能にします。特にWindowsプラットフォームでは、ChromeのすべてのグラフィックスレンダリングにANGLEが使用されており、その脆弱性は広範な影響を及ぼす可能性を秘めています。
2025年は、Google Chromeにとってゼロデイ脆弱性の修正が相次ぐ「比較的忙しい年」となりました。今回の8件目のゼロデイに先立ち、Googleは既に7件の深刻な脆弱性に対処しています。その中には、3月にKasperskyが報告したサンドボックスエスケープの脆弱性(CVE-2025-2783)があり、これはロシア政府機関やメディアを標的としたスパイ活動で悪用されたことが確認されています。
5月にはアカウントハイジャックを可能にする脆弱性(CVE-2025-4664)が修正され、6月にはV8 JavaScriptエンジンにおける複数の問題(CVE-2025-5419、CVE-2025-6558など)がGoogle TAGによって発見され、コード実行やサンドボックス境界の突破を許すものでした。これらの脆弱性は、攻撃者がブラウザのセキュリティメカニズムを迂回し、システムへのより深いアクセスを得るための手段として悪用されました。
さらに、9月にはV8エンジンにおける型混同バグ(CVE-2025-10585)が緊急の帯域外パッチで修正され、11月にはGoogle TAGが報告した別のゼロデイ脆弱性(CVE-2025-13223)が対処されました。これらの脆弱性の多くは、Googleの脅威分析グループ(TAG)によって発見または報告されており、彼らがスパイウェアや国家支援型攻撃者の活動を継続的に監視していることを示しています。
これらの事例の多くがV8 JavaScriptエンジンやサンドボックス境界を越える問題に集中していることは、攻撃者たちがブラウザの最も機密性の高い部分、すなわちウェブコンテンツの処理と実行を担うコンポーネントを標的としていることを示唆しています。このような継続的な攻撃の連鎖は、Chromeユーザーにとって、常に最新のセキュリティアップデートを適用することの重要性を強調するものです。
Googleがゼロデイ脆弱性の詳細を公開しないのは、悪意あるアクターがパッチをリバースエンジニアリングし、修正が適用されていないシステムを標的とした新たなエクスプロイトを開発するのを防ぐためです。この情報統制は、大多数のユーザーが修正を適用するまでの間、攻撃の窓を最小限に抑えることを目的としています。しかし、このアプローチは、セキュリティ研究者や一般ユーザーが脅威の全容を把握することを困難にする側面も持ち合わせています。
セキュリティアナリストたちは、過去に「in the wild」で悪用されたChromeのゼロデイエクスプロイトの多くが、V8 JavaScriptエンジンまたはその隣接コンポーネントにおけるメモリ処理エラーに起因していると指摘しています。型混同やuse-after-freeといった種類のバグは、脅威アクターがブラウザのセキュリティ境界を越えてコードを実行することを可能にし、システムへのより深い侵入を許す可能性を秘めています。
このような脆弱性は、歴史的に国家支援型アクターや商業スパイウェア事業者による標的型侵入に利用されてきました。Bitdefenderの専門家は、今回のゼロデイエクスプロイトに関する公開情報が極めて少ないことから、広範な大規模攻撃ではなく、特定の標的に絞ったキャンペーンである可能性が高いと分析しています。これは、高度な技術を持つ攻撃者が、特定の個人や組織を狙って、未発見の脆弱性を悪用している現実を示唆しています。
標的型攻撃は、その性質上、特定の目的のために高度なリソースと技術が投入されることが多く、一般的なセキュリティ対策では防ぎきれない場合があります。そのため、ゼロデイ脆弱性の悪用は、企業や政府機関にとって特に深刻な脅威となり、常に最新の脅威インテリジェンスに基づいた防御戦略が求められます。
今回の緊急パッチは、Windowsユーザー向けにはバージョン143.0.7499.109、macOSユーザー向けには143.0.7499.110、そしてLinuxユーザー向けには143.0.7499.109として提供されています。Googleは、セキュリティパッチがすべてのユーザーに届くまでには数日から数週間かかる場合があるとしていますが、BleepingComputerの確認では、記事公開時点で既にアップデートが利用可能でした。ユーザーは、Chromeの「その他」メニュー(三点リーダー)から「設定」>「Chromeについて」と進むことで、手動でアップデートを確認し、適用することができます。
アップデートの適用後には、ブラウザの再起動が必要です。このプロセスを怠ると、パッチが完全に適用されず、脆弱性が残存するリスクがあります。Chromeは通常、自動的にアップデートを適用しますが、ブラウザを長時間閉じない場合や、特定の拡張機能が更新を妨げる場合があるため、手動での確認と再起動は非常に重要です。パッチ未適用の状態では、ウェブサイトを閲覧するだけで攻撃のリスクに晒される可能性があるため、迅速な対応が求められます。
さらに、この脆弱性(CVE-2025-14174)はGoogle Chromeに限定されたものではありませんでした。Appleもまた、iOS、iPadOS、macOS、tvOS、watchOS、visionOSといった自社のオペレーティングシステムにおいて、この脆弱性に対するパッチをリリースしています。これは、ANGLEライブラリが複数のプラットフォームや製品で利用されていること、そしてその脆弱性が広範なエコシステムに影響を及ぼす可能性を示しています。
また、Microsoft Edge、Brave、Opera、Vivaldiなど、Chromiumをベースとする他のブラウザのユーザーも、それぞれのベンダーから修正が提供され次第、速やかに適用することが推奨されています。基盤となるコンポーネントの脆弱性は、それを共有するすべての製品に影響を及ぼすため、単一のブラウザに留まらない広範な警戒が必要です。この事態は、サプライチェーン全体のセキュリティ意識を高めることの重要性を改めて浮き彫りにしています。
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、今回のゼロデイ脆弱性(CVE-2025-14174)を、その深刻度と悪用状況を鑑み、「既知の悪用されている脆弱性(KEV)」カタログに追加しました。この措置は、連邦政府機関(FCEB)に対し、2026年1月2日までにこの脆弱性に対する修正を適用することを義務付けるものです。CISAのこの指示は、国家レベルでのサイバーセキュリティリスク管理における、この脆弱性の優先順位の高さを示しています。
CISAは、この脆弱性について「Google ChromiumにはANGLEにおける境界外メモリアクセス脆弱性が含まれており、細工されたHTMLページを介してリモートの攻撃者が境界外メモリアクセスを実行する可能性がある」と具体的に記述しています。この明確な警告は、政府機関が直面するサイバー脅威の現実と、迅速かつ強制的な対応の必要性を強調するものです。連邦政府機関は、この期限までにシステムの脆弱性を解消し、潜在的な攻撃から保護するための措置を講じなければなりません。
KEVカタログへの追加は、単なる推奨事項ではなく、拘束力のある指令であり、政府機関がサイバーセキュリティ対策を最優先事項として扱うことを保証するための重要なメカニズムです。この決定は、今回のゼロデイ攻撃が、単なる技術的な問題にとどまらず、国家安全保障に関わる重大なリスクをはらんでいるという認識に基づいています。政府機関のシステムが侵害されれば、機密情報の漏洩や重要インフラへの影響など、計り知れない損害が発生する可能性があるため、CISAの厳格な対応は当然と言えるでしょう。
このCISAの警告は、民間企業や一般ユーザーにとっても、今回のゼロデイ脆弱性の深刻さを理解し、自らのシステムを保護するための行動を促す強力なメッセージとなります。政府機関がこれほどまでに迅速かつ厳格な対応を求めるということは、この脅威が広範な影響を及ぼす可能性を秘めていることの明確な証拠です。
今回の緊急アップデートでは、活発に悪用されているゼロデイ脆弱性以外にも、2つの中程度の severity の脆弱性が修正されました。一つは「CVE-2025-14372」として追跡される、ChromeのPassword Managerにおけるuse-after-freeの脆弱性です。この脆弱性は、Vulnerability Research Institute (VRI) のWeipeng Jiang氏(@Krace)によって11月14日にGoogleに報告されました。
Googleはこの脆弱性を中程度の severity と評価しましたが、Tenableの脆弱性リポジトリではCVSS v3.0スコアが9.8とされており、一部ではcritical severity と見なされる可能性も示唆されています。use-after-freeの脆弱性は、解放されたメモリ領域を不正に再利用することで、任意のコード実行やサービス拒否攻撃につながる可能性があり、決して軽視できるものではありません。
もう一つは「CVE-2025-14373」として追跡される、Chrome Toolbarにおける不適切な実装の脆弱性です。こちらはKhalil Zhani氏によって11月18日にGoogleに報告されました。これらの脆弱性は、Googleのバグバウンティプログラムを通じて報告され、それぞれの発見者には2,000ドルの報酬が支払われました。これは、セキュリティ研究コミュニティがGoogle製品のセキュリティ向上に貢献していることを示すものです。
ゼロデイ攻撃に注目が集まる一方で、このような中程度の脆弱性も、攻撃チェーンの一部として悪用される可能性があります。例えば、複数の脆弱性を組み合わせることで、個々の脆弱性だけでは不可能だったより深刻な攻撃が実行されるケースも少なくありません。したがって、これらの「脇役」とも言える脆弱性への対処も、ブラウザ全体のセキュリティ体制を強化する上で不可欠です。
Googleは、ゼロデイの詳細に関する調整を継続し、技術文書の最終化を進めている間も、ユーザーに対し、これらのパッチを速やかに適用するよう強く促しています。包括的なセキュリティ対策は、単一の重大な脅威だけでなく、潜在的なリスクとなりうるあらゆる脆弱性に対処することから始まります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Google Releases Critical Chrome Security Update to Address Zero-Days - https://www.infosecurity-magazine.com/news/google-chrome-security-update/
- -Google fixes eighth Chrome zero-day exploited in attacks in 2025 - https://www.bleepingcomputer.com/news/security/google-fixes-eighth-chrome-zero-day-exploited-in-attacks-in-2025/
- -[Updated] Another Chrome zero-day under attack: update now | Malwarebytes - https://www.malwarebytes.com/blog/news/2025/12/another-chrome-zero-day-under-attack-update-now
- -Chrome Targeted by Active In-the-Wild Exploit Tied to Undisclosed High-Severity Flaw - https://thehackernews.com/2025/12/chrome-targeted-by-active-in-wild.html
- -Google Chrome Zero-Day Patch Released (Dec 11 2025) - https://www.bitdefender.com/en-us/blog/hotforsecurity/google-chrome-zero-day-dec-11-2025