生成AIが「Google Chrome」の脆弱性を発見【セキュリティ注目トピック】：週刊セキュリティニュース

GoogleはAIエージェントを利用して「Google Chrome」の脆弱性を自動的に発見し、修正したと発表した。この他、先週はソニーがFeliCaチップに脆弱性が見つかったことを公表した。

[畑陽一郎，キーマンズネット]

　2025年8月25日を含む前後の週では、Google Chromeの（ぜいじゃく）性やソニーのFeliCaチップに見つかった脆弱性のニュースが注目を集めた。

生成AIが「Google Chrome」の脆弱性を発見

　Google Chromeに脆弱性が見つかることは珍しくない。今回の発表に意外性があったのはGoogleが開発したAIエージェントが脆弱性を自律的に発見したことだ。

　この他のセキュリティ注目トピックはソニーのFeliCaチップに見つかった脆弱性やノートPCにも採用されているDellのシンクライアントOSの脆弱性だ。

---

●2025年8月21日

　フィッシング対協議会は2025年7月に報告が寄せられたフィッシングについて状況を発表した。報告件数は2025年6月と比較して3万3563件象の22万6433件だった。フィッシングサイトのURLは同2万5165件増の8万5272件だ。フィッシングに悪用されたブランド名は同3件増の97件。いずれも消費者を狙ったものだ。報告数全体のうち、SBI証券をかたるものが約16.1％、NTTドコモをかたるものが約13.2％を占めていずれも増加した。Appleをかたるものは約7.0％、ANAをかたるものは約6.9％で減少傾向にあるという。次いで1万件以上の報告があったVISA、松井証券、Amazonをかたるもの合わせると、全体の約58.3％を占めた。分野別では証券系が24.3％、クレジット・信販系が19.0％、EC系が14.1％、モバイル系が13.3％、航空系が7.4％、配送系が5.6％、交通系が4.4％で、2025年6月と比較すると証券系とモバイル系が急増、クレジット・信販系、配送系、交通系も増加傾向にあったものの、EC系は大きく減少した。

---

●2025年8月26日

　Googleは「Google Chrome」のセキュリティアップデートを公開した。WindowsとmacOS向けのバージョンは、139.0.7258.155／139.0.7258.154で、Linux向けは同139.0.7258.154だ。これはGoogle Chromeに含まれる「ANGLE」（Almost Native Graphics Layer Engine）というコンポーネントに悪意のあるWebページを用いたメモリ破壊や任意のコード実行が可能な脆弱性「CVE-2025-9478」（CVSSのスコアが9.8）が見つかったからだ。今回対応した脆弱性はこれ1点のみだ。ANGLEはWebGLの高速化や互角性の確保、セキュリティの向上のために役立つコンポーネントだ。

　今回のセキュリティアップデートはAIエージェントがサイバー防御に役立った事例なのだという。GoogleのAI研究部門DeepMindとセキュリティチームProject Zeroが共同開発したAIエージェント「Google Big Sleep」がANGLEコンポーネントを自律的に分析したところ、技術者が手動では見つけ出しにくい解放後使用というメモリ関連の脆弱を特定し、2025年8月11日に報告を上げた。技術者が確認したところ確かに脆弱性だったという経緯がある。

●2025年8月26日

　Dellはシンクライアント向けOS「Dell ThinOS 10」に多数の脆弱性が見つかったことをセキュリティアドバイザリとして公開した。セキュリティアドバイザリの重要度はcritical。サードパーティコンポーネントに由来する脆弱性が39件、Thin OS 10固有のものは4件ある。固有のものでは「CVE-2025-43728」が危険で、共通脆弱性評価システム「CVSSv3.1」のベーススコア9.6と最も高い。この脆弱性を利用すると認証されていない攻撃者が保護機能をバイパスしてリモートアクセスを起こす可能性がある。なお、Dell ThinOS 10は「Dell Wyse」「Dell OptiPlex」「Dell Latitude」などの一部の製品に採用されている。

●2025年8月26日

　三浦工業は海外グループ記者を通じた社内ネットワークに対する第三者による不正アクセスによって顧客の情報が漏えいした可能性があると発表した。同社は国内外の工場や病院、公共施設などで使われる蒸気ボイラーや温水ボイラーなどに強みを持つ企業だ。2025年8月14日に不正アクセスが発生し、サービスを停止していたものの、同8月16日に復旧した。流出した情報は3種類に分かれる。第1に輸出管理に関する情報として、顧客企業の会社名、住所、電話番号が4577件、取引情報として契約先名と住所、最終需要者名と住所が16万1383件だ。第2に製品の配送に関連する情報は法人顧客の配送先名、住所、電話番号が2万112件、個人顧客の同様の情報が5537件、第3にグループ会社を含めた社員の氏名、社員番号、社用電話番号だ。これについては件数を確認中だという。いずれも流出した可能性がある最大件数であり、クレジットカード情報や口座情報は含まれていないという。

---

●2025年8月28日

　ソニーは同社の非接触ICカード技術「FeliCa」の脆弱性について発表した。2017年以前に出荷されたFeliCaのICチップの一部に脆弱性が見つかった。情報処理推進機構（IPA）の情報セキュリティ早期警戒パートナーシップガイドラインに基づいて外部から指摘を受けた経緯がある。報告された操作を実行するとデータの読み取りや改ざんが実行される可能性があるという。

　FeliCa技術はSuicaやPASMO、ICOCAなど交通系ICカードや楽天Edyやnanaco、WAONなどの電子マネーで利用されている。2025年8月28日時点では楽天EdyとWAONは独自のセキュリティ対策があるため、安心して利用するとしており、SuicaやPASMO、ICOCA、nanacoは調査中だと発表した

---

●2025年8月29日

　Microsoftは「Microsoft Edge」のセキュリティアップデートを公開した。これはGoogleが2025年8月26日に対応した脆弱性「CVE-2025-9478」にのみ対応するものだ。MS Edgeのバージョンは139.0.3405.125で、基になった「Chromium 139.0.7258.155」「同139.0.7258.154」のリリースを待った形だ。