Google Chromeのゼロデイ脆弱性を突いたAPT攻撃 「Operation ForumTroll」(CVE-2025-2783)

2025年3月25日、Kaspersky(カスペルスキー)社はGoogle Chromeのゼロデイ脆弱性(CVE-2025-2783)を利用した国家支援型のAPT攻撃「Operation ForumTroll」に関するレポートを公開しました。

このサイバー攻撃は、ユーザーがフィッシングメール内のリンクをクリックするだけで、マルウェアに感染する可能性があります。

なお、脆弱性 CVE-2025-2783 は2025年3月25のデスクトップアップデートで数日～数週間にパッチが提供されることが発表されています。

フィッシングメールが送信される

今回の攻撃では、まず「Primakov Readings（プリマコフ会議）」という実在する学術フォーラムになりすましたメールが、報道機関や大学関係者、政府系機関などを対象に送信されました。

メールには会議の招待を装ったリンクが含まれており、これをGoogle Chromeで開くと、ユーザーの操作なしに感染が成立するという仕組みになっていました。

サンドボックス回避のために脆弱性を悪用

リンクにアクセスした瞬間に、攻撃者のサーバー側で用意されたエクスプロイトが実行され、Chromeのサンドボックス機能を回避するかたちで不正なコードが実行されます。

ここで利用された脆弱性が、CVE-2025-2783です。

この脆弱性は、ChromeとWindows OSの境界部分にある論理的な欠陥によって、保護機構をすり抜けてしまうという、非常に発見が難しいタイプの脆弱性でした。

攻撃の特徴と背景にある意図

この攻撃の最も恐ろしい点は、ユーザーがリンクをクリックするだけで感染するという点にあります。ダウンロードや添付ファイルの実行といった、通常のマルウェア感染のトリガーが一切不要であり、フィッシング対策がされている環境でも容易にすり抜けてしまいます。

Kasperskyによると、これらの手法や使用されたマルウェアの設計から見ても、背後にいるのはおそらく国家支援を受けたAPTグループであるとの見解を示しています。感染後の挙動や、対象の選定から考えても、目的は明らかに「スパイ活動（情報窃取）」であり、破壊や金銭目的ではなかったことがうかがえます。

パッチはリリース済み

2025年3月25日に本脆弱に対応したパッチがリリースされており、数日～数週間で適用予定です。

情報システム部門が取るべき対策

まず第一に行うべきは、Google Chromeのバージョン確認とアップデートの強制適用です。

今回の脆弱性（CVE-2025-2783）は、バージョン134.0.6998.177/.178で修正されているため、それ以前のバージョンが業務用端末に残っていないか、確認が必要です。

次に、今回のようなリンクをクリックするだけで感染する攻撃を想定し、社内でセキュリティ教育を強化する必要があります。

特に、「学会案内」や「研究招待」といった信頼されやすい文脈を使ったフィッシングへの注意喚起は、教育機関や研究部門を抱える組織では必須です。

また、EDRやメールセキュリティ製品でアラート設定やログ監視も推奨されます。

参照

Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain