Chromeの重大な脆弱性「CVE-2025-4664」、CISAが“既知の悪用対象脆弱性”に指定- 全ユーザーに早急なパッチ適用を推奨

2025年5月15日、米国CISA（サイバーセキュリティ・インフラストラクチャ庁）は、Google Chrome(グーグル クローム)に存在する重大なセキュリティ脆弱性「CVE-2025-4664」がすでに悪用されていることを確認し、「Known Exploited Vulnerabilities（KEV）」カタログに正式に追加しました。CISAは、米国の連邦機関に対して3週間以内（2025年6月7日まで）に修正を実施するよう指示するとともに、すべての組織に対して迅速な対応を強く推奨しています。

脆弱性の概要：CVE-2025-4664

• 影響製品：Google Chrome（バージョン 136.0.7103.113/.114で修正）

• CVSSスコア：高（正式スコア未公開）

• 脆弱性の内容：Chromeの「Loader」コンポーネントにおけるポリシー強制の不備により、悪意あるHTMLページを用いてクロスオリジンデータの漏えいが可能になる。

• 報告者：Vsevolod Kokorin 氏（Solidlab）

この脆弱性を利用することで、攻撃者はLinkヘッダとreferrer-policyの組み合わせを悪用し、OAuthフローなどで用いられるクエリパラメータを窃取できる可能性があります。たとえば、サードパーティ画像の読み込みを通じて、ユーザーの認証情報に関連するURL情報を抜き取られる恐れがあります。

実際の悪用事例とGoogleの対応

Googleは、5月14日のChromeアップデートでこの脆弱性に対処するパッチを公開しましたが、技術的詳細の公開や「既知のエクスプロイトあり」との記述から、すでに実際の攻撃で利用されていた可能性が高いとされています。

GoogleはChromeのセキュリティアドバイザリで明確には触れていないものの、CISAが翌日に“実際に悪用されている”と認定したことで、ゼロデイ脆弱性としての深刻さが裏付けられた形です。

本件は、2025年に入ってから報告された2件目のChromeゼロデイ脆弱性です。

前回のCVE-2025-2783は、ロシア政府機関やメディア、教育機関を標的としたスパイ活動に悪用されていたことがKasperskyによって報告されています。

対応方法と推奨事項

• パッチの適用：利用者は直ちに最新版のChromeへアップデートする必要があります。対象バージョンは以下の通りです。

  • Windows/macOS：136.0.7103.113 / .114

  • Linux：136.0.7103.113

  • アップデート確認：chrome://settings/help

• 全組織への推奨：BOD 22-01の適用対象である連邦機関だけでなく、民間企業や自治体、教育機関などすべての組織が優先的にこの脆弱性を修正するべきだとCISAは警告しています。

• 注意喚起：「OAuth認証」「URLクエリパラメータ」「クロスサイト通信」などを扱うWebアプリケーションでは、特に細心の注意を払う必要があります。

関連記事

Google Chromeの定例アップデートで深刻な脆弱性(CVE-2025-4664)を修正、既に悪用確認済み-最新版への即時アップデートを推奨 Google Chrome アップデートで深刻な脆弱性 CVE-2025-4096を含む8件のセキュリティ修正を実施 Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 ランサムウェア 攻撃 グループが Google Chrome に保存されたパスワードを盗む Apple、Siriがユーザーの許可なく会話を記録・保存したとする訴訟で和解 株式会社日邦バルブ、ランサムウェアによる情報漏洩の調査結果を公表 SAP NetWeaverのゼロデイ脆弱性（CVE-2025-31324）が悪用、CISAがKEVデータベースに追加 ADOdbのPostgreSQLドライバに深刻なSQLインジェクションの脆弱性(CVE-2025-46337) Google Chromeの重大な脆弱性が修正、早急なアップデートを(CVE-2025-2476)

投稿者：三村

セキュリティ対策Labのダークウェブの調査から執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)や脆弱性の営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。