GoogleがChromiumの未修正の脆弱性 詳細を誤って公開—2022年12月に報告・有効と認定されたまま3年以上パッチなし。ブラウザ終了後もService Worker経由でJavaScriptを継続実行しデバイス上でRCEが可能。

セキュリティニュース

投稿日時: 更新日時:

Googleは誤って、Chromiumブラウザエンジンに存在する未修正の脆弱性に関する詳細情報をChromium Issue Trackerを通じて一時的に公開状態にしてしまいました。

この脆弱性は、セキュリティ研究者のLyra Rebane氏2022年12月にChromium Issue Trackerに報告し、Googleが有効と認定したものです。しかし認定から3年以上が経過した現在も修正されておらず、今回の誤公開によってその詳細が広く知られる状況となりました。Googleは公開状態に気づき再び非公開に戻そうとしましたが、TechSpotの報道によれば詳細はすでにキャッシュされており完全な情報隠蔽には至っていません。

この記事のサマリー

  • 脆弱性の内容:Chromiumブラウザエンジンに存在する未修正の不具合。ブラウザを閉じた後もService Worker経由でJavaScriptがバックグラウンドで動作し続けることを悪用して、デバイス上でリモートコード実行(RCE)が可能になる。
  • 報告者・報告日:セキュリティ研究者Lyra Rebane氏・2022年12月(Chromium Issue Tracker上で有効と認定済み)
  • パッチの状況:認定から3年以上経過した現在も未修正(パッチなし)
  • 誤公開の経緯:GoogleがChromium Issue Trackerで一時的に詳細を公開状態にしてしまい、その後非公開に戻すも詳細はすでにキャッシュ済み。
  • 攻撃シナリオ:攻撃者が悪意あるウェブページにService Worker(例:終了しないダウンロードタスク)を仕込む → 訪問者のブラウザがページを閉じた後も攻撃者のJavaScriptが実行され続ける → DDoS攻撃・悪性トラフィックのプロキシ・任意のサイトへのトラフィックリダイレクトに悪用可能。
  • 影響範囲:ChromiumエンジンベースのすべてのブラウザーChrome・Microsoft Edge・Vivaldi・Brave・Arc・Opera等が対象。
  • Rebane氏の評価:「ページビュー数万件規模のボットネット作成は現実的で、ユーザーは自分のデバイスでJavaScriptがリモートから実行されていることに気づかない」。「悪用は比較的容易だが、大規模攻撃には追加インフラが必要」。
  • Googleの対応:BleepingComputerが問い合わせたが記事公開時点で回答なし。Chromium開発者は深刻さを認識しているが完全な修正はまだ展開されていない。

脆弱性の詳細—「ブラウザを閉じても動き続けるJavaScript」

Service Workerを悪用した持続的なJavaScript実行

Rebane氏がChromium Issue Trackerで報告した脆弱性の核心は、Service Worker(サービスワーカー)の仕組みを悪用した持続的なJavaScript実行です。

Service Workerは本来、オフライン機能やプッシュ通知などを実現するためにウェブアプリケーションがバックグラウンドで処理を行う仕組みです。しかし今回の脆弱性を利用すると、攻撃者は悪意あるウェブページに「決して終了しない」Service Worker(例:終了しないダウンロードタスク)を仕込むことができます。

ユーザーがそのページを閉じた後も、あるいはブラウザを閉じた後でも、攻撃者のJavaScriptがバックグラウンドで動作し続け、**デバイス上でのリモートコード実行(RCE)**が可能になります。

現実的な攻撃シナリオ

Rebane氏は当初のバグレポートで「数万件のページビューでボットネットを作成することは現実的であり、ユーザーは自分のデバイスでJavaScriptがリモートから実行されていることに気づかない」と述べています。

具体的な攻撃シナリオとして以下が挙げられています。DDoS攻撃の実行として、侵害されたブラウザを利用して標的サーバーへの分散型サービス妨害攻撃を行います。悪性トラフィックのプロキシとして、攻撃者のトラフィックをユーザーのIPアドレスを踏み台として中継します。任意サイトへのトラフィックリダイレクトとして、ユーザーのブラウザを使って標的サイトへのトラフィックを恣意的に誘導します。これらの攻撃はすべてユーザーの意識なしに実行されます。

「3年以上未修正」という問題

Chromiumエンジン上の脆弱性が有効と認定されてから3年以上にわたって修正されないまま放置されてきた事実について、セキュリティコミュニティからは批判の声が上がっています。「Googleは一部のバグパッチに関連するプロセスや手順においてAIに頼りすぎているのか」という皮肉な指摘もBleepingComputerのコメント欄に寄せられています。

本脆弱性はCVEがまだ正式に公開されておらず、NVDエントリも存在しません。これは自動脆弱性スキャナーによる検出が困難であることを意味しており、企業のパッチ管理プロセスからも見落とされやすい状態です。

影響を受けるブラウザと暫定的な緩和策

Chromiumエンジンをベースとするすべてのブラウザが影響を受けます。主要なものとして、Google Chrome・Microsoft Edge・Vivaldi・Brave・The Browser Company Arc・Opera・その他Chromiumベースのブラウザが挙げられます。

現時点でGoogleから公式パッチは提供されていません

セキュリティ専門家は企業環境向けに以下の暫定的な緩和策を推奨しています。

  • エンタープライズポリシーを通じてService Workerの機能を制限または無効化すること、
  • 可能であればバックグラウンドフェッチ機能を無効化すること、エンタープライズ環境でブラウザアイソレーションまたはサンドボックス技術を導入することが対策として挙げられます。

参考情報(1次ソース)