セキュリティ

SECURITY

公開：2025-04-16

【CVE-2025-3067】Google Chrome for AndroidのCustom Tabsに特権昇格の脆弱性、ユーザー操作による攻撃のリスクに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Google ChromeのCustom Tabsに特権昇格の脆弱性
• Android版Chrome 135.0.7049.52より前のバージョンが対象
• CVSSスコア8.8のHigh深刻度の脆弱性

Google Chrome for AndroidのCustom Tabsに特権昇格の脆弱性

Googleは2025年4月2日、Android版Google ChromeのCustom Tabsに特権昇格の脆弱性（CVE-2025-3067）を発見したことを公開した。この脆弱性は悪意のあるアプリケーションを通じて、ユーザーが特定のUI操作を行うことで特権昇格が可能になる深刻な問題である。^[1]

本脆弱性はChrome 135.0.7049.52より前のバージョンに影響を与えるため、早急なアップデートが推奨されている。CISAによる評価では、この脆弱性の技術的影響は「total」とされており、自動化による攻撃の可能性も指摘されているため、システム管理者は直ちに対応を検討する必要がある。

CVSSv3.1での評価では、基本スコアが8.8（High）と高い深刻度を示している。攻撃ベクトルはネットワーク経由で、攻撃の複雑さは低く、特権は不要だがユーザーの関与が必要とされており、機密性・完全性・可用性のすべてに高い影響があると評価されている。

CVE-2025-3067の詳細情報

特権昇格について

特権昇格とは、システム上でより高い権限を不正に取得することを指す攻撃手法であり、主な特徴として以下のような点が挙げられる。

• 通常のユーザー権限から管理者権限への昇格が可能
• システムの重要な機能やデータへのアクセスが可能になる
• マルウェアの実行やシステムの改ざんなどの攻撃に悪用される

今回のCustom Tabsの脆弱性では、悪意のあるアプリケーションを介してユーザーの操作を誘導することで特権昇格が可能となる。この種の攻撃は特定のUI操作を必要とするものの、一度成功すると高い権限でシステムを操作できるため、深刻な影響をもたらす可能性がある。

Google ChromeのCustom Tabs脆弱性に関する考察

AndroidプラットフォームにおけるCustom Tabsの広範な利用は、ユーザーエクスペリエンスの向上に大きく貢献してきた一方で、今回のような特権昇格の脆弱性は深刻なセキュリティリスクとなっている。特にモバイルアプリケーションでの利用が一般的なCustom Tabsにおいて、ユーザーの操作を介した攻撃は現実的な脅威となっているため、開発者はセキュリティ対策の見直しを迫られている。

今後はCustom Tabsの実装におけるセキュリティ検証の強化と、定期的なセキュリティ監査の実施が重要となるだろう。特にUI操作を介した権限昇格の防止メカニズムの実装や、アプリケーション間の権限分離の厳格化などが求められる。同時に、ユーザーへのセキュリティ啓発も重要な課題となっている。

長期的には、AndroidプラットフォームのセキュリティモデルとCustom Tabsの連携強化が必要不可欠だ。プラットフォームレベルでの権限管理の改善や、アプリケーション間の相互運用性を維持しながらセキュリティを向上させる新しい仕組みの導入が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-3067, (参照 25-04-16).
1167
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧