セキュリティ

SECURITY

公開：2025-02-15

【CVE-2025-21253】Microsoft EdgeのiOSとAndroid版にスプーフィング脆弱性が発見、ユーザーインターフェースの誤表示に注意

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft EdgeのiOSとAndroid版にスプーフィング脆弱性
• CVE-2025-21253として識別された中程度の深刻度
• バージョン133.0.3065.51未満が影響を受ける

Microsoft EdgeのiOSとAndroid版にスプーフィング脆弱性が発見

Microsoftは2025年2月6日、Microsoft EdgeのiOSおよびAndroid版において、ユーザーインターフェースの重要な情報の誤表示に関するスプーフィング脆弱性を公開した。この脆弱性は【CVE-2025-21253】として識別され、Common Weakness Enumeration（CWE）によってCWE-451に分類されており、CVSSスコアは5.3の中程度の深刻度となっている。^[1]

この脆弱性は、Microsoft EdgeのiOS版とAndroid版のバージョン1.0.0から133.0.3065.51未満のバージョンに影響を与えることが判明した。攻撃条件の複雑さは低く、特権レベルは不要であるものの、ユーザーインターフェースにおける重要情報の誤表示によってセキュリティ上のリスクが生じる可能性があるだろう。

CISAの評価によると、この脆弱性の自動化された悪用の可能性は存在しないものの、技術的な影響は部分的であると判断されている。Microsoftは影響を受けるユーザーに対して、最新バージョンへのアップデートを推奨しており、脆弱性への対策を迅速に実施することが重要となっている。

Microsoft Edge脆弱性の影響範囲まとめ

スプーフィングについて

スプーフィングとは、コンピュータセキュリティにおいて、システムやユーザーを欺くために正規のリソースになりすます攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規のWebサイトやアプリケーションを模倣して情報を詐取
• ユーザーインターフェースを改ざんして誤った情報を表示
• セキュリティ制御をバイパスして不正アクセスを試行

Microsoft EdgeのiOSおよびAndroid版におけるスプーフィング脆弱性は、ユーザーインターフェースの重要な情報を誤表示させる可能性がある深刻な問題である。CISAの評価では自動化された攻撃の可能性は低いとされているものの、ユーザーの意図しない情報の開示やセキュリティ機能の回避につながる可能性が指摘されている。

Microsoft Edge脆弱性に関する考察

Microsoft Edgeのモバイルアプリにおけるスプーフィング脆弱性の発見は、クロスプラットフォームブラウザのセキュリティ管理の重要性を改めて浮き彫りにしている。特にiOSとAndroid版の両方に影響を与える脆弱性が発見されたことは、プラットフォーム横断的なセキュリティ対策の必要性を示唆している。しかし、この脆弱性のCVSSスコアが中程度であることから、即時の重大な被害は限定的である可能性が高いだろう。

今後は、モバイルブラウザのセキュリティ強化において、UIの信頼性確保がより重要な課題となることが予想される。特にスプーフィング対策として、ユーザーインターフェースの整合性検証メカニズムの導入や、重要情報の表示方法の標準化が必要となるだろう。Microsoftには、プラットフォーム間で一貫したセキュリティ対策の実装を期待したい。

また、モバイルブラウザのセキュリティ管理における新たな課題として、プラットフォーム固有の脆弱性対策と共通の脆弱性対策のバランスが挙げられる。今回のような複数プラットフォームに影響を与える脆弱性に対しては、統一的なセキュリティフレームワークの構築が望まれる。将来的には、AIを活用した脆弱性検出システムの導入も検討に値するだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21253, (参照 25-02-15).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧