グーグルは、悪意のあるハッカーが被害者のコンピュータに侵入するために利用していたWindows版Chromeブラウザの脆弱性を修正したと発表した。
グーグルは火曜日の短い発表の中で、今月初めにセキュリティ企業カスペルスキーの研究者らが発見したCVE-2025-2783という脆弱性を修正したと発表した。
Googleは、このバグを悪用するエクスプロイトが「実際に存在する」という報告を認識していると述べた。このバグがゼロデイと呼ばれるのは、ベンダー(今回の場合はGoogle)がバグを修正する時間を与えられず、悪用されたためである。
カスペルスキーによれば、このバグはChromeを実行しているWindowsコンピューターを狙ったハッキングキャンペーンの一環として悪用されたという。
カスペルスキーはブログ投稿で、このキャンペーンを「Operation ForumTroll(フォーラムトロール作戦)」と名付け、被害者はロシアの国際政治サミットへの招待を装ったフィッシングメールに誘導されたと述べています。メール内のリンクをクリックすると、被害者は悪意のあるウェブサイトに誘導され、そのウェブサイトは即座にバグを悪用して被害者のPCデータにアクセスします。
カスペルスキーはChromeのパッチ公開時点でこのバグについてほとんど詳細を明らかにしなかったが、このバグによって攻撃者はChromeのサンドボックス保護を回避できるようになったと述べた。サンドボックス保護は、ブラウザがユーザーのコンピュータ上の他のデータにアクセスすることを制限するものだ。カスペルスキーによると、このバグはGoogleのChromiumエンジンをベースにした他のすべてのブラウザにも影響を与えるという。
カスペルスキーは別の分析で、このバグはスパイ活動に利用された可能性が高いと述べている。スパイ活動は通常、標的のデバイスを密かに監視し、通常は一定期間にわたってデータを盗み出すことを目的としている。ロシアに本社を置くこのセキュリティ企業によると、ハッカーたちはロシアのメディア関係者や教育機関の職員に対し、個人を特定したフィッシングメールを送信したという。
誰がこのバグを悪用していたかは不明だが、カスペルスキー社は、この攻撃は国家が支援あるいは支援するハッカー集団によるものである可能性が高いとしている。
Chromeのようなブラウザは、悪意のあるハッカーや政府系グループの標的として頻繁に利用されています。これらのブラウザの保護を突破し、被害者の機密デバイスデータに侵入する可能性のあるゼロデイ脆弱性は、高値で売買される可能性があります。2024年には、あるゼロデイ脆弱性ブローカーが、インターネット経由で実行可能な脆弱性に対し、最大300万ドルのオファーを出していました。
Googleは、Chromeのアップデートは今後数日から数週間かけて展開される予定だと述べた。
トピック
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
