2025年7月1日 – Googleは、ChromeブラウザのJavaScript/WebAssemblyエンジン「V8」に存在する重大なタイプ混同(Type Confusion)脆弱性 CVE‑2025‑6554 を修正するアップデートを全ユーザー向けに緊急リリースしました。
この脆弱性は、実際にサイバー攻撃へ悪用されていることが確認されており、未更新のままだとリモートで任意の読み書き権限、場合によってはリモートコード実行(RCE)に悪用される恐れがあります。
関連:CISAが「既知の悪用脆弱性」カタログに、Google Chromeの脆弱性を追加(CVE‑2025‑6554)
実際の攻撃と緊急対応
今回の脆弱性は、Chromeの中核技術である「V8」エンジンに内在する型の取り違え(Type Confusion)に起因します。V8はJavaScriptの実行を担うコンポーネントで、ブラウザ上の動的処理において不可欠な役割を担っています。
本来であれば、変数の型は実行時に正しく識別されて処理されるべきところを、攻撃者が特定の条件下で意図的に型の誤認識を引き起こすことで、ブラウザのメモリ空間に対して想定外のアクセス(読み書き)を可能にしてしまいます。
実際に確認されたケースでは、細工されたHTMLページを閲覧しただけで攻撃が成立する可能性があり、ユーザーの操作を一切必要としない「ゼロクリック」型の攻撃にも発展し得るものです。
Googleは「現実の攻撃で既に悪用されている」事実を確認しているとしています。このため同社は、技術的な緩和策として即日設定変更パッチを適用し、追って完全修正版を配信しました。
脆弱性対処バージョン
脆弱性の対処バージョンは以下です。
-
Windows:138.0.7204.96/.97
-
macOS:138.0.7204.92/.93
-
Linux:138.0.7204.96
現時点でChromeのアップデートページ([設定] → [Chrome について])から適用可能です。
今春から4件目のゼロデイ – 背景と類似攻撃
この脆弱性は、2025年に修正された4件目のゼロデイ攻撃です。過去には、
-
CVE‑2025‑2783(サンドボックス突破)、
-
CVE‑2025‑4664(クロスオリジン漏洩)
-
CVE‑2025‑5419(V8エンジンの境界外読書)
が修正されており、いずれも標的型攻撃や情報窃取に繋がる可能性が指摘されています
特にZ世代エンジンたるV8を狙ったバグは、高度な脆弱性攻撃に頻繁に悪用されており、ノークリックでの不正コード実行も可能なため、TAGによる指摘は重大です。
システム利用者/情報システム部向け対策
-
即時アップデートを推奨します。
-
Windows:v138.0.7204.96/.97
-
macOS:v138.0.7204.92/.93
-
Linux:v138.0.7204.96
-
-
自動更新有効化出ない場合は必須対応へ変更
-
企業IT部門は集中管理を実施し、Chromium系も同様の管理を行う








