概要
Google ChromeのGemini Live統合における新しく発見された深刻な脆弱性(CVE-2026-0628)が、ユーザーに重大なプライバシーとセキュリティリスクをもたらしています。この脆弱性は、悪意のあるブラウザ拡張機能がGeminiサイドパネルを乗っ取ることを可能にし、カメラ、マイク、ローカルファイルへの不正アクセスを許します。
脆弱性の詳細
CVE-2026-0628は、Google ChromeにおけるGemini LiveパネルのJavaScriptインジェクション経由での不正アクセスを可能にするものです。この脆弱性により、攻撃者はユーザーの同意なしにカメラとマイクを使用したり、ローカルファイルやディレクトリへのアクセスを得たり、HTTPSウェブサイトのスクリーンショットを撮影することが可能です。
影響範囲
- カメラとマイクの無許可使用:ユーザーが同意なしにカメラやマイクを使用することができます。
- ローカルファイルへのアクセス:攻撃者はオペレーティングシステム上のローカルファイルやディレクトリを検索できます。
- スクリーンショットの撮影:HTTPSウェブサイトのスクリーンショットを取得することができます。
- 高度なフィッシング攻撃:信頼されたGeminiパネルインターフェースを使用して、ユーザーに悪意のあるアクションを実行させることができます。
脆弱性の発見と対応
Palo Alto Networks Unit 42の研究者は、この脆弱性がChromeがGeminiウェブアプリ(https://gemini.google.com/app)をサイドパネル内で読み込む方法に問題があることを発見しました。通常のタブ内ではJavaScriptインジェクションは特別な権限を与えませんが、サイドパネル内で行うと高度な危険性があります。
対策
Palo Alto Networks Unit 42は2025年10月にGoogleに対してこの脆弱性を責任を持って開示し、Googleは2026年初めにパッチをリリースしました。しかし、AIブラウザ統合がもたらす新たなセキュリティ課題への対応が必要であり、これらの技術の進化とともに継続的なモニタリングが重要です。