米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Google Chromeで活発に悪用されているゼロデイ脆弱性について緊急のセキュリティ警告を発令しました。

この脆弱性（CVE-2025-10585）は、Google Chromium内のV8 JavaScriptおよびWebAssemblyエンジンに影響を与え、世界中のユーザーに重大なセキュリティリスクをもたらします。

新たに特定されたこの脆弱性は、ChromeのV8エンジンにおけるタイプコンフュージョン（型混同）の欠陥です。タイプコンフュージョン脆弱性とは、ソフトウェアがデータ型を誤って処理することで、攻撃者がメモリを操作し、悪意のあるコードを実行する可能性が生じるものです。この特定の弱点は、CWE-843に分類されています。

CISAは2025年9月23日にCVE-2025-10585を既知の悪用されている脆弱性カタログに追加しており、これは脅威アクターがこのセキュリティ上の欠陥を現実世界の攻撃で積極的に利用していることを示しています。

CISAは、連邦政府機関に対し、2025年10月14日までに必要なパッチを適用するか、影響を受けるChromeのインストールを停止するよう義務付けています（BOD 22-01）。この脆弱性の深刻さは、組織および個々のユーザー双方からの迅速な対応を求めています。

ユーザーは、潜在的な悪用から保護するために、直ちにChromeブラウザを最新バージョンに更新する必要があります。Googleはこの脆弱性に対処するパッチをリリースしており、自動更新によってほとんどのインストールに修正が適用されるはずですが、ユーザーはChromeの設定メニューから手動で更新を確認し、セキュリティパッチを迅速に受け取るようにすることが推奨されます。

クラウドサービスを利用している組織は、適用されるBOD 22-01のガイダンスに従うべきです。緩和策を講じることができない場合は、適切なパッチが適用されるまで、脆弱なChromeバージョンの使用を中止することを検討する必要があります。

CISAは、CVE-2025-10585がランサムウェアキャンペーンで利用されているかどうかをまだ判断していませんが、ランサムウェアのオペレーターがブラウザの脆弱性を悪用してシステムやネットワークへの初期アクセスを獲得することが多いため、この不確実性はさらなる懸念材料となります。

V8エンジンがJavaScriptの処理において果たす重要な役割を考えると、この脆弱性は特に危険です。悪意のあるウェブサイトがこの欠陥を悪用し、ユーザーが感染したページを訪問する以外の操作を必要とせずに、訪問者のシステムを侵害する可能性があります。

システム管理者は、自社の環境全体でChromeの更新を優先し、この新たに開示された脆弱性を標的とした悪用試行を示す可能性のある、疑わしいブラウザ関連の活動を監視する必要があります。

—
元記事: [https://gbhackers.com/cisa-issues-alert-on-actively-exploited-google-chrome-0-day-vulnerability/](https://gbhackers.com/cisa-issues-alert-on-actively-exploited-google-chrome-0-day-vulnerability/)