セキュリティ

SECURITY

公開：2025-04-23

【CVE-2025-3072】Google Chrome Custom Tabsに脆弱性、UIスプーフィング攻撃の危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Google Chromeに深刻なCustom Tabs脆弱性が発見
• Chrome 135.0.7049.52以前のバージョンが影響を受ける
• UI操作によってスプーフィング攻撃が可能に

Google Chrome Custom Tabsの脆弱性【CVE-2025-3072】

Google社は2025年4月2日、Chrome 135.0.7049.52未満のバージョンにおいて、Custom Tabs機能に脆弱性が発見されたと発表した。この脆弱性は細工されたHTMLページを通じてUIスプーフィングを引き起こす可能性があり、ユーザーが特定のUI操作を行うことで攻撃が成立する危険性が指摘されている。^[1]

脆弱性の深刻度はCVSS 3.1で基本値5.4（Medium）と評価されており、攻撃者がネットワークを介してリモートから攻撃を実行できる可能性が示唆されている。この脆弱性は認証情報不要で攻撃が可能だが、ユーザーの操作介入が必要となる特徴を持っている。

CISAによる評価では、この脆弱性の技術的影響は部分的であり、自動化された攻撃の可能性は低いとされている。また、CWE-451（ユーザーインターフェースにおける重要情報の誤表示）に分類され、ユーザーインターフェースの信頼性に関わる問題として認識されている。

Chrome Custom Tabs脆弱性の詳細

UIスプーフィングについて

UIスプーフィングとは、ユーザーインターフェースを偽装して正規のものに見せかける攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規のUIを模倣して誤操作を誘発する手法
• ユーザーの意図しない操作を引き起こす危険性
• 情報窃取やマルウェア感染の入り口として悪用される可能性

Chrome Custom Tabsの脆弱性では、攻撃者が細工したHTMLページを通じてUIスプーフィングを実行する可能性がある。この攻撃が成功した場合、ユーザーは意図しない操作を行わされる可能性があり、情報漏洩やセキュリティ上の問題につながる危険性が指摘されている。

Chrome Custom Tabs脆弱性に関する考察

Chrome Custom Tabsの脆弱性は、モバイルアプリケーションでのウェブコンテンツ表示に広く使用される機能であるため、影響範囲が潜在的に大きい問題だ。特にフィッシング詐欺やソーシャルエンジニアリング攻撃と組み合わさることで、より巧妙な攻撃が可能になる危険性が懸念される。

今後の対策として、開発者側ではCustom Tabsの実装におけるセキュリティチェックの強化が求められるだろう。特にUIの整合性検証やユーザー操作の妥当性確認など、複数層での防御策を実装することが重要になってくる。

長期的には、WebViewやCustom Tabsなどのコンポーネント間での安全な通信方式の標準化が期待される。また、エンドユーザー向けのセキュリティ教育や啓発活動を通じて、UIスプーフィング攻撃に対する認識を高めていく必要があるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-3072」. https://www.cve.org/CVERecord?id=CVE-2025-3072, (参照 25-04-23).
1199
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧