Google Chromeに深刻な脆弱性。今すぐアップデートを
私たちの業務や日常生活に欠かせない存在となっているウェブブラウザー。その中でも特に使用者の多いGoogle Chromeに、現在深刻な脆弱性が発見されています。これはすでに悪用されている可能性があるゼロデイ脆弱性であり、対応が急がれます。
Googleはこの問題に対して緊急パッチをリリースし、Chromeユーザーに即時アップデートを促しています。加えて、アメリカのCISA(Cybersecurity and Infrastructure Security Agency)は、すべての連邦職員に対して6月5日までのアップデート完了を義務づけました。
今回の脆弱性の内容とは?
問題となっているのは、「CVE-2025-4664」と呼ばれる脆弱性です。これは、Chromeの”Mojo IPCレイヤー”において、セッション認証情報を含む文字列が外部に漏洩するリスクがあるというもので、攻撃者はこれを悪用することで、ユーザーになりすましたログインやセッションの再現が可能になります。
OAuthフローや多要素認証(MFA)を回避される恐れもあり、オンラインサービスのアカウントが乗っ取られる深刻な被害に繋がる可能性があります。
この脆弱性はすでに公知の手口として認識されており、攻撃者がパッチが適用される前に攻撃を仕掛ける“レース”が始まっている状態です。被害を避けるためには、今すぐの対策が不可欠です。
どのように対応すれば良いか
Google Chromeをご利用中の方は、以下の対応をすぐに行うようにしてください。
- Chromeのバージョンを確認現時点で修正済みとされているのは、バージョン「136.0.7103.113」または「136.0.7103.114」です。
- アップデートの適用Chrome右上の「︙」メニュー >「ヘルプ」>「Google Chromeについて」を開くと、自動で更新が確認されます。アップデートが完了したら、必ず再起動してください。再起動しないとアップデートが有効になりません。
- Edgeユーザーも要注意Microsoft EdgeもChromiumベースのブラウザーのため、同様の脆弱性が存在します。Edgeをご利用の方も同様にアップデートと再起動を忘れずに。
なぜ”再起動”が必要なのか?
Chromeは通常、ブラウザーを閉じて再度開いたときにバックグラウンドでアップデートが適用されます。ただし長時間ブラウザーを閉じていない場合、”保留中のアップデート”として通知されるだけで、実際の適用は再起動後となります。
再起動時には、通常のタブやウィンドウは復元されますが、シークレットモードのタブだけは復元されないため注意が必要です。
企業やご家庭でも今すぐチェックを
今回の脆弱性は、政府機関に限らずすべてのユーザーに関係する問題です。業務用PCはもちろん、個人のPCやスマートフォン、タブレットでChromeを使用している場合も対象です。
「うちは関係ないだろう」と思っている方ほど、無防備な状態が狙われるリスクがあります。この機会にChromeの更新設定や、自動アップデートの有無をチェックしてみるのもおすすめです。
まとめ
- Chromeに深刻なゼロデイ脆弱性「CVE-2025-4664」が発見されています
- セッション情報の漏洩により、ログインの乗っ取りが可能に
- 最新バージョンにアップデートし、必ず再起動を行うこと
- EdgeなどChromium系ブラウザ利用者も同様の対策を
- 企業・家庭問わず、すべてのユーザーに今すぐの対応が必要です
このような脆弱性情報は日々更新されています。安全なブラウジング環境を維持するために、常に最新情報に目を向けていきましょう。
