セキュリティ

SECURITY

公開：2025-04-23

【CVE-2025-3073】Google Chromeの自動入力機能に脆弱性、UIスプーフィングによる攻撃の可能性が判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Google Chromeの自動入力機能に脆弱性が発見
• UIスプーフィングによる攻撃の可能性
• Chrome 135.0.7049.52で修正済み

Google ChromeのAutofill機能における脆弱性

Googleは2025年4月2日、Chrome ブラウザの自動入力機能において深刻度の低い脆弱性を発見したことを発表した。この脆弱性は【CVE-2025-3073】として識別されており、Chrome 135.0.7049.52より前のバージョンで特定のUI操作を行うことで攻撃者がUIスプーフィングを実行できる可能性があることが判明している。^[1]

この脆弱性は自動入力機能の不適切な実装に起因しており、攻撃者が細工を施したHTMLページを通じてユーザーを特定のUI操作に誘導することで悪用される可能性があることが確認された。CISAによる評価では、この脆弱性の技術的影響は部分的であり、自動化された攻撃の可能性は低いとされている。

CVSSスコアは5.4（MEDIUM）と評価されており、攻撃者は特権を必要とせずにネットワーク経由で攻撃を実行できる可能性があるものの、実際の攻撃には必ずユーザーの操作が必要となることが特徴だ。CWEでは「CWE-451：重要な情報のユーザーインターフェース誤表示」として分類されている。

CVE-2025-3073の詳細情報

UIスプーフィングについて

UIスプーフィングとは、ユーザーインターフェースを偽装または改ざんして、ユーザーを欺く攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規のUIを模倣して偽のインターフェースを表示
• ユーザーの誤操作を誘発して情報を詐取
• ブラウザやアプリケーションの表示機能の脆弱性を悪用

UIスプーフィング攻撃は、ユーザーが気付かないうちに意図しない操作を行わせることが可能であり、CVE-2025-3073の場合はChromeの自動入力機能を標的としている。攻撃者は細工を施したHTMLページを用意し、ユーザーを特定のUI操作に誘導することでUIスプーフィングを実行する可能性がある。

Google Chromeの脆弱性対策に関する考察

Google Chromeの自動入力機能における脆弱性の発見は、ブラウザセキュリティの継続的な監視と改善の重要性を示している。特にユーザーインターフェースに関連する脆弱性は、一般ユーザーが被害に遭いやすい特徴があるため、早期発見と迅速な対応が望まれるところだ。

今後は自動入力機能のセキュリティ強化に加えて、UIスプーフィング対策の包括的な改善が期待される。具体的には、ユーザー操作の検証機能の強化やHTML要素の表示制御の厳格化など、より堅牢なセキュリティ機能の実装が求められるだろう。

また、ユーザー側の意識向上も重要な課題となっている。不審なWebサイトでの自動入力機能の使用を控えることや、定期的なブラウザのアップデートを行うなど、基本的なセキュリティ対策の徹底が望まれる。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-3073」. https://www.cve.org/CVERecord?id=CVE-2025-3073, (参照 25-04-23).
1196
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧