セキュリティ

SECURITY

公開：2025-02-15

【CVE-2025-21404】Microsoft Edge Chromiumベース版にスプーフィング脆弱性、ユーザーインターフェースの誤操作のリスクに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Edgeにスプーフィング脆弱性が発見
• CVE-2025-21404として識別される重要な脆弱性
• Chromiumベース版Edge 133.0.3065.51未満が対象

Microsoft Edge Chromiumベース版のスプーフィング脆弱性

Microsoftは2025年2月6日、Microsoft Edge Chromiumベース版にスプーフィング脆弱性が存在することを公表した。この脆弱性は【CVE-2025-21404】として識別され、Common Weakness Enumeration（CWE）によってUI誤操作（CWE-449）に分類されている。^[1]

この脆弱性の深刻度はCVSS v3.1で「MEDIUM（中程度）」とされ、基本スコアは4.3を記録している。攻撃には特権レベルは不要だが、ユーザーの操作が必要とされており、機密性への影響はないものの、整合性に対して限定的な影響があるとされている。

影響を受けるのはMicrosoft Edge Chromiumベース版のバージョン1.0.0から133.0.3065.51未満のバージョンとなっている。Microsoftは既にセキュリティアドバイザリを公開し、対策情報を提供している。

Microsoft Edge Chromiumベース版の脆弱性詳細

スプーフィング脆弱性について

スプーフィング脆弱性とは、攻撃者が正規のユーザーやシステムになりすまして不正な操作を行うことを可能にする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規のUIや画面を偽装して表示される可能性
• ユーザーの意図しない操作を誘発する危険性
• 重要な情報の改ざんやなりすましのリスク

Microsoft Edge Chromiumベース版で発見されたスプーフィング脆弱性は、CVE-2025-21404として識別され、CWE-449（UIが誤った動作を実行する）に分類されている。この脆弱性の影響度はCVSS v3.1で中程度とされ、特権は不要だがユーザーの操作を必要とする特徴がある。

Microsoft Edge Chromiumベース版の脆弱性に関する考察

Microsoft Edge Chromiumベース版のスプーフィング脆弱性は、ユーザーインターフェースの誤操作を引き起こす可能性があり、特にセキュリティ意識の低いユーザーにとって大きなリスクとなる。Microsoftの迅速な対応により脆弱性が特定され、セキュリティアドバイザリが公開されたことは評価に値するだろう。

今後の課題として、UIの安全性検証プロセスの強化と、ユーザー教育の充実が挙げられる。特にChromiumベースのブラウザが広く普及している現状では、類似の脆弱性が他のブラウザにも影響を与える可能性があることを考慮する必要がある。

Microsoft Edgeの開発チームには、UIセキュリティの継続的な改善と、脆弱性発見時の迅速な対応体制の維持が求められる。特にユーザーの操作を必要とする脆弱性に関しては、警告メッセージの改善やセキュリティガイダンスの強化など、予防的な対策の実装も検討すべきだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21404, (参照 25-02-15).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧