セキュリティ

SECURITY

公開：2025-04-09

【CVE-2025-3069】Google Chrome拡張機能に権限昇格の脆弱性、135.0.7049.52で修正完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Google Chromeに権限昇格の脆弱性が発見
• Chrome 135.0.7049.52未満のバージョンが影響対象
• 細工されたHTMLページによる攻撃の可能性

Google Chrome 135.0.7049.52未満の拡張機能における権限昇格の脆弱性

Googleは2025年4月2日、Google Chromeの拡張機能における権限昇格の脆弱性を修正したバージョン135.0.7049.52をリリースした。この脆弱性は【CVE-2025-3069】として識別されており、細工されたHTMLページを通じて攻撃者が権限昇格を実行できる可能性があることが判明している。^[1]

この脆弱性はChromeの拡張機能における不適切な実装に起因しており、CISAによる評価ではCVSSスコア8.8のHigh深刻度に分類されている。攻撃の実行には特別な権限は必要ないものの、ユーザーの操作が必要とされることから、Chromiumのセキュリティ評価ではMedium（中程度）の深刻度とされた。

脆弱性の技術的な分類としては、CWE-358（不適切に実装されたセキュリティチェック）に該当することが確認されている。攻撃者がリモートから攻撃可能で、攻撃の複雑さは低いとされており、機密性・完全性・可用性のすべてに高い影響があるとCVSSベクトルで評価されている。

CVE-2025-3069の詳細情報まとめ

権限昇格について

権限昇格とは、システムやアプリケーション上で通常与えられている権限以上の特権を不正に取得することを指す。主な特徴として以下のような点が挙げられる。

• 正規のユーザー権限を超えた操作が可能になる
• システムの重要な機能や機密データへのアクセスを可能にする
• マルウェアの感染や情報漏洩のリスクが高まる

Google Chromeの拡張機能における今回の脆弱性では、攻撃者が細工されたHTMLページを通じて権限昇格を実行できる可能性がある。この脆弱性は拡張機能の実装における不適切なセキュリティチェックに起因しており、Chromeのセキュリティモデルを損なう可能性があることが確認されている。

Google Chrome拡張機能の脆弱性に関する考察

Google Chromeの拡張機能における権限昇格の脆弱性は、ブラウザのセキュリティモデルに重大な影響を及ぼす可能性がある問題として注目に値する。拡張機能は多くのユーザーが日常的に利用しており、攻撃者による悪用の可能性が現実的な脅威となっているため、早急な対応が必要とされている。

今後は拡張機能のセキュリティレビューをより厳格化し、実装段階での脆弱性の混入を防ぐ取り組みが重要になるだろう。特に権限管理に関する実装については、セキュリティチェックの強化とコードレビューの徹底が求められており、開発者向けのセキュリティガイドラインの整備も必要とされている。

また、ブラウザ拡張機能のエコシステム全体のセキュリティ向上も課題となっている。Chrome Web Storeでの審査プロセスの強化や、開発者向けのセキュリティトレーニングの提供など、包括的なアプローチが求められる。今後はAIを活用した脆弱性検出なども導入されることが期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-3069, (参照 25-04-09).
1139
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧