セキュリティ

SECURITY

公開：2025-03-17

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング脆弱性、UIの誤動作によるセキュリティリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft Edgeのスプーフィング脆弱性が発見
• UI操作による不正な権限昇格のリスクが存在
• 影響を受けるバージョンは1.0.0から134.0.3124.51未満

Microsoft Edge Chromiumベースのスプーフィング脆弱性

Microsoftは2025年3月7日、Microsoft Edge（Chromiumベース）においてスプーフィング脆弱性【CVE-2025-26643】を公開した。この脆弱性は認証されていない攻撃者がネットワーク経由でスプーフィング攻撃を実行できる可能性があるものだ。^[1]

CVSSスコアは5.4（深刻度：中）で、攻撃元区分はネットワーク、攻撃条件の複雑さは低く、特権レベルは不要だが利用者の関与が必要とされている。影響を受けるバージョンは1.0.0から134.0.3124.51未満のMicrosoft Edge（Chromiumベース）となっている。

この脆弱性はUIが誤った動作を実行することに起因しており、CWE-449（The UI Performs the Wrong Action）に分類されている。攻撃が成功した場合、機密性と完全性に対して限定的な影響が及ぶ可能性があるが、可用性への影響は報告されていない。

CVE-2025-26643の詳細情報まとめ

スプーフィングについて

スプーフィングとは、システムやネットワーク上で他のエンティティになりすます攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規のユーザーやシステムになりすまして不正なアクセスを試みる
• IPアドレスやメールアドレス、Webサイトなど様々な要素が標的となる
• フィッシング攻撃やマルウェア配布の前段階として使用される

Microsoft Edge（Chromiumベース）で発見された脆弱性は、UIの誤動作を利用したスプーフィング攻撃を可能にするものだ。攻撃者はユーザーの操作を必要とするものの、特別な権限なしでネットワーク経由での攻撃が可能となっている。

Microsoft Edgeのスプーフィング脆弱性に関する考察

この脆弱性は一般的なユーザーの操作を必要とするものの攻撃条件の複雑さが低いため、ソーシャルエンジニアリングと組み合わせた攻撃シナリオが考えられる。特にリモートワークが一般化している現代において、ブラウザベースの攻撃は企業システムへの侵入口として危険性が高まっているのだ。

Microsoftは定期的なセキュリティアップデートを通じて脆弱性対策を行っているが、エンドユーザーの更新忘れや意識の低さが新たな課題となっている。今後は自動アップデート機能の強化やユーザーへの通知方法の改善など、より確実な対策の実装が望まれるだろう。

長期的な対策としては、UIの設計段階からセキュリティを考慮したアプローチが重要となる。特にChromiumベースのブラウザは多くのユーザーが利用しているため、オープンソースコミュニティとの連携強化による脆弱性の早期発見と修正が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-26643, (参照 25-03-17).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧