2025年11月17日、Googleはデスクトップ向けChromeに対するセキュリティアップデートで、V8 JavaScriptエンジンの型の取り違え脆弱性「CVE-2025-13223」「CVE-2025-13224」を修正した。
CVE-2025-13223はGoogleのThreat Analysis Group(TAG)が2025年11月12日に報告したもので、すでに悪用例が確認されている。CVE-2025-13224はAIツール「Big Sleep」による自動検出で10月9日に報告され、現時点で実害は伝えられていない。両脆弱性の深刻度は「High」と評価されている。アップデート後のバージョンは、Windows向けが142.0.7444.175/.176、macOS向けが142.0.7444.176、Linux向けが142.0.7444.175である。
ゼロデイ脆弱性の連続発覚は今年7件目であり、悪意ある攻撃者による侵害リスクが現実化していることから各自の迅速なアップデートが強く推奨されている。Googleは脆弱性情報公開後も引き続き監視体制を敷いており、さらなる脆弱性発見に備えている。
From: 
Google issues emergency fix for actively exploited Chrome zero-day bug
【編集部解説】
Google ChromeのV8 JavaScriptエンジンで発見されたゼロデイ脆弱性(CVE-2025-13223とCVE-2025-13224)は、利用者にとって早急な対応が求められる深刻なセキュリティ問題です。今回明らかになったCVE-2025-13223は既に攻撃者による実際の悪用が確認されており、Google自身も専用のセキュリティチーム(Threat Analysis Group)を動員して監視を強化しています。発見者はTAGに所属するクレマン・ルシーニュ氏であり、組織的な脅威対策活動の一端が垣間見えます。
今回問題となった「型の取り違え(Type Confusion)」は、V8エンジンがメモリ上のデータ型を誤認することで発生し、攻撃者が本来意図しないコードの実行を行えるようになる可能性を持ちます。他の脆弱性と組み合わされば、攻撃がブラウザのサンドボックス外へ波及し、システム権限の乗っ取りなど「完全なシステム侵害(full system compromise)」につながるケースも指摘されています。
脆弱性が確認された当初、既に悪用が進行中だったため、Googleは緊急パッチを迅速に公開しました。Windows、Mac、Linuxの主要環境で広く影響が及ぶことが判明しており、アップデートの速やかな適用が助言されています。Microsoft EdgeやBraveなど、Chromiumベースの他のブラウザの利用者も、各開発元からのアップデートに注意が必要です。これに加え、同じV8エンジンに関する別のゼロデイ(CVE-2025-13224)もAIツール「Big Sleep」により発見されており、AIが脅威インテリジェンス領域で成果を発揮し始めている点も注目を集めています。
今年だけでChromeのゼロデイ報告は7件目となり、ウェブブラウザが国家レベルの標的となっている実情が浮き彫りになりました。Googleだけでなく、Mozilla(Firefox)など他ブラウザにも類似の脆弱性が見つかっており、標的型攻撃が高度化・多様化している兆候もあります。加えて、今回の一件はサイバーセキュリティ分野におけるコンプライアンスやアップデート即応性の重要性を強調し、企業や利用者に自主防衛意識を促しています。
今後も、ソフトウェアの複雑化・AI技術の進化により、未知の脆弱性の発見・悪用が加速することが予想されます。その一方で、AI型自動脆弱性発見ツールの普及や企業レベルでのセキュリティ人材強化といった対抗策が、将来のリスク軽減に寄与する動きとして期待されます。
【用語解説】
V8エンジン
Google Chromeに搭載されているJavaScriptおよびWebAssemblyの実行環境。高速動作と最適化技術で知られる。
型の取り違え(Type Confusion)
プログラムがメモリ上のデータの型を誤って扱うことで、本来想定しない動作やセキュリティリスクが生じる現象。
Threat Analysis Group(TAG)
Googleの攻撃分析専門チーム。政府や犯罪組織による標的型攻撃やスパイウェアなどの監視活動を担当する。
Big Sleep
Googleが開発したAIによる自動脆弱性発見ツールであり、コードレビューや脆弱性検出業務を支援する。
【参考リンク】
Google Chrome公式(外部)
Googleが提供する公式ウェブブラウザ。安全や最新アップデート情報を提供。
Google Threat Analysis Group公式(外部)
Google攻撃分析専門チーム「TAG」の最新セキュリティ研究や脅威レポートなど掲載。
Google Security Blog(外部)
Googleセキュリティチームの公式ブログ。脆弱性やアップデートの最新情報。
Google Chrome Releases(外部)
Chromeのアップデート履歴やパッチ情報。最新サポート詳細が確認できる。
NIST National Vulnerability Database (CVE-2025-13223)(外部)
米国国立標準技術研究所による脆弱性情報データベース。技術的詳細を掲載。
【参考記事】
Google Issues Security Fix for Actively Exploited Chrome Zero-Day Bug(外部)
2025年11月のChromeゼロデイ脆弱性報道。TAGやAIの脅威検知事例も解説されている。
すぐに「Google Chrome」の更新を、スクリプトエンジン「V8」にゼロデイ脆弱性(外部)
V8エンジンの脆弱性に関する日本国内の報道。一般利用者向け注意喚起記事。
Google patches yet another exploited Chrome zero-day(外部)
Chromeのゼロデイ攻撃を受けた事例とパッチ配布、脆弱性技術解説を含む海外記事。
【編集部後記】
今回のChromeゼロデイ脆弱性の発表を受けて、みなさんはご自身のブラウザの安全性をどのように考えていますか?Googleが迅速にパッチを提供したとはいえ、実際に最新バージョンへのアップデートをどの程度こまめに行えているか振り返る機会ではないでしょうか。セキュリティ対策は日々の積み重ねが大切です。今回のような深刻な脆弱性のニュースから、自分のデバイスを守るための意識と行動を今一度見直してみませんか。特に仕事やプライベートで重要なデータに触れる方は、どんな対策が可能か一緒に考えていきましょう。
