はじめに

米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Google Chromeに影響を与える重大なゼロデイ脆弱性（CVE-2025-13223）が、現在進行形で悪用されていることを警告しました。この脆弱性はGoogle ChromiumのV8 JavaScriptエンジンに存在し、世界中の数百万人のユーザーに即座の脅威をもたらしています。

脆弱性の詳細：CVE-2025-13223

CVE-2025-13223は、Chromium V8エンジン内のタイプ混同（Type Confusion）脆弱性です。タイプ混同が発生すると、アプリケーションがオブジェクトのデータ型を誤って解釈し、攻撃者は脆弱なシステム上でヒープメモリを破損させることができます。これにより、影響を受けるブラウザプロセスの権限で任意のコード実行が可能になる可能性があります。

• 脆弱性の種類： タイプ混同
• 影響： ヒープメモリの破損、任意のコード実行
• CWE分類： CWE-843（不適合な型でのリソースアクセス）
• 影響範囲： Google Chrome、Edge、Opera、Braveなど、Chromiumベースの多数のブラウザ

この脆弱性の技術的な性質と、悪用された場合の深刻な影響が強調されています。

CISAによる警告と対策期限

CISAは、2025年11月19日にこのCVE-2025-13223を既知の悪用されている脆弱性（KEV）カタログに追加しました。これは、この脆弱性を悪用した活発な攻撃が確認されていることを示しています。組織および個人は、2025年12月10日までにパッチを適用するか、緩和戦略を導入する必要があります。この21日間の猶予期間は、脅威の深刻さを反映したものです。

CISAのガイダンスによると、ユーザーはベンダー提供の緩和策を直ちに適用することを優先すべきです。クラウドサービス展開の場合、組織は拘束力のある運用指令22-01（BOD 22-01）に概説された要件に従い、インターネットに面した脆弱性の修正が義務付けられています。パッチが利用できない場合は、修正が提供されるまで影響を受ける製品の使用を中止することが推奨されています。

直ちにとるべき行動

システムを保護するために、以下の手順を講じる必要があります。

• Google ChromeおよびすべてのChromiumベースのブラウザを最新バージョンに更新する。ブラウザの「バージョン情報」ページを確認し、自動更新が適用されていることを確認してください。
• ブラウザのセキュリティパッチが設定で自動的に有効になっていることを確認する。
• 企業環境を管理している場合は、エンタープライズレベルのブラウザセキュリティコントロールおよびエンドポイント検出と対応（EDR）ソリューションの導入を検討する。
• セキュリティチームは、ネットワークログを監視して悪用試行を検出し、ブラウザプロセスの追加監視を実装する。
• 脅威インテリジェンスフィードは、この脆弱性の悪用に関連する侵害指標（IOC）を提供する可能性があります。

深刻さと今後の見通し

CISAは活発な悪用を確認していますが、ランサムウェアキャンペーンへの関与に関する詳細は現時点では不明です。しかし、KEVカタログへの迅速な追加と直接的な悪用経路は、攻撃者が信頼性の高い悪用技術を開発している可能性が高いことを示唆しています。組織は、広範なスキャンおよび悪用試行が進行中であると想定すべきです。

この事態は、ブラウザのパッチを常に最新の状態に保つことの極めて重要な重要性を強調しています。V8のタイプ混同脆弱性は、過去に高価値資産を標的とした洗練された攻撃で悪用されてきました。CISAの協調的な警告と積極的なパッチ適用期間は、サイバーセキュリティ当局がこの脆弱性に与える深刻さを示しています。

ユーザーおよび管理者は、この脆弱性を優先的な修正項目として扱うべきです。活発な悪用、広範な影響を受けるソフトウェア配布、および強力な悪用能力の組み合わせにより、CVE-2025-13223は、Chromiumベースのブラウザを使用するすべてのシステムで迅速な行動を要求する即時のセキュリティ上の懸念となっています。

---

元記事: https://gbhackers.com/cisa-alerts-users-to-active-attacks-on-chrome-0-day-vulnerability/