【CVE-2025-3071】Google Chromeに同一オリジンポリシーバイパスの脆弱性、アップデートで対応完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年04月のアーカイブ一覧
【2025年04月】セキュリティに関するアーカイブ一覧
【2025年04月18日】セキュリティに関するアーカイブ一覧
【CVE-2025-3071】Google Chromeに同一オリジンポリシーバイパスの脆弱性、アップデートで対応完了

記事の要約
Google Chrome 135.0.7049.52の脆弱性について
Chrome 135.0.7049.52の脆弱性詳細
同一オリジンポリシーについて
Google Chromeの脆弱性に関する考察
参考サイト

記事の要約

Google Chromeに同一オリジンポリシーのバイパス脆弱性
Chrome 135.0.7049.52より前のバージョンが対象
深刻度は低レベルのセキュリティ脆弱性

Google Chrome 135.0.7049.52の脆弱性について

GoogleはChrome 135.0.7049.52より前のバージョンにおいて、ナビゲーション機能の実装に関する脆弱性を2025年4月2日に公開した。この脆弱性は特別に細工されたHTMLページを通じて、ユーザーが特定のUIジェスチャーを行うことで同一オリジンポリシーをバイパスされる可能性があることが明らかになっている。^[1]

この脆弱性はCVE-2025-3071として識別されており、CWEによる脆弱性タイプはオリジン検証エラー（CWE-346）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているが、攻撃に必要な特権レベルは不要で、ユーザーの関与が必要とされている。

CVSSスコアは5.4（MEDIUM）と評価されており、機密性と完全性への影響は限定的であるとされている。この脆弱性に対する修正はChrome 135.0.7049.52で実施されており、Googleはユーザーに対して速やかなアップデートを推奨している。

Chrome 135.0.7049.52の脆弱性詳細

項目	詳細
CVE番号	CVE-2025-3071
影響を受けるバージョン	Chrome 135.0.7049.52より前のバージョン
脆弱性の種類	同一オリジンポリシーのバイパス
CVSSスコア	5.4（MEDIUM）
CWE分類	CWE-346（オリジン検証エラー）
公開日	2025年4月2日

同一オリジンポリシーについて

同一オリジンポリシーとは、Webセキュリティの重要な基本原則の一つであり、Webブラウザがコンテンツのアクセスを制限する仕組みのことを指す。主な特徴として、以下のような点が挙げられる。

異なるオリジン間でのリソースアクセスを制限
クロスサイトスクリプティング攻撃からの保護
ユーザーデータの保護とプライバシーの確保

Google ChromeのCVE-2025-3071では、ナビゲーション機能の実装における脆弱性により、同一オリジンポリシーのセキュリティチェックがバイパスされる可能性が報告されている。この脆弱性は特定のUIジェスチャーを必要とするため、自動的な攻撃は困難であるが、ユーザーが気付かないうちに悪用される可能性があるため、早急な対応が推奨される。

Google Chromeの脆弱性に関する考察

Google Chromeの同一オリジンポリシーバイパス脆弱性は、攻撃の成功にユーザーの操作が必要という点で直接的な脅威は限定的である。しかしながら、ソーシャルエンジニアリングと組み合わせることで、ユーザーを誘導して特定のUIジェスチャーを実行させる可能性があり、その場合はより深刻な被害につながる可能性がある。

Chromeブラウザの市場シェアの高さを考慮すると、この脆弱性の影響範囲は潜在的に非常に広いと考えられる。今後は同様の脆弱性を防ぐため、ナビゲーション機能の実装における安全性検証の強化と、UIジェスチャーに関連するセキュリティチェックの改善が期待される。

また、今回の脆弱性はChromeの基本的なセキュリティ機能に関わるものであり、同様の問題が他のブラウザにも存在する可能性がある。ブラウザベンダー各社には、この事例を参考にした自社製品の検証と、必要に応じた対策の実装が望まれる。