インターネットを安全に利用するためには、セキュリティは極めて重要です。特にウェブブラウザは、個人情報や機密データの取り扱いが頻繁に行われるため、そのセキュリティ対策は不可欠な要素となっています。しかし、どんなに優れたブラウザであっても、セキュリティ上の脆弱性が存在する可能性があります。本記事では脆弱性に焦点を当て、ウェブブラウザの中でも世界中で広く利用されているChromeを例にして、ウェブブラウザのセキュリティについて説明していきます。
Chromeとは何か?
Chromeとは、Googleが開発したウェブブラウザです。ウェブブラウザは、インターネット上のウェブページやウェブアプリケーションを表示したりそれらへ情報を登録したりするためのプログラムです。ChromeはGoogleが開発した人気のあるウェブブラウザで、その使いやすさや高速なパフォーマンス、豊富な機能が特徴です。例えば、自動翻訳機能があり、外国語のウェブページを自動的に翻訳してくれます。また、Chromeの拡張機能を利用することで、個々のニーズに合わせて色々な機能を追加していくというようなカスタマイズも可能です。
そしてこのChromeの基盤となっているのがChromium(クロミウム)と呼ばれるソフトウェアです。Chromiumはオープンソースという分類にあたり、誰でも無償でソースコードの利用/改変/再配布などが可能となっています。また、開発者のコミュニティが活発で新しい機能の追加や脆弱性への対応などが頻繁に行われており、Microsoft EdgeやBraveなどの他ブラウザの基盤にもなっています。Chromiumの開発にはGoogleの開発者も多くかかわっていますが、Chromiumに対してGoogle独自の機能やサービスを追加したものがChromeとして世の中に提供されているのです。
Chromeはセキュリティ面でも優れており、不正なウェブサイトやマルウェアから保護してくれます。さらに定期的なアップデートにより、最新のセキュリティ対策が維持できます。しかし、どんなに優れたブラウザであっても、あるいはどんなに頻繁にアップデートを行っても、セキュリティ上の脆弱性は発生するものです。それでは、実際に発見された脆弱性を解説していきます。
Chromeの脆弱性の現状
脆弱性の報告はどのツールやサービスであっても不定期的に発見されており、対応方法も様々です。Chrome(およびChromium)も都度、脆弱性に対するセキュリティ対策を実施しておりその情報も公開されています。
Chrome Releases:https://chromereleases.googleblog.com/
Chromium Bug Tracker:https://bugs.chromium.org/p/chromium/issues/list?q=Type%3DBug-Security
では、 Chrome で実際に発見された脆弱性の中から代表的なものを2件紹介していきます。
- 2022年11月CVE-2022-3656として報告された脆弱性は、シンボリックリンク(ウェブページに対する短縮された別名やエイリアス)が適切に処理されない場合に、脆弱性が生じる危険性があるとされています。悪意のあるWebサイトにアクセスすることで、攻撃者がパソコンから機密ファイルを盗み出すことができる可能性があるとされています。
参考:CVE-2022-3656 Detail(https://nvd.nist.gov/vuln/detail/CVE-2022-3656)
- 2023年4月CVE-2023-2033として報告された脆弱性は、Chrome内部の検索エンジンであるV8における型変換の欠陥が原因です。不正なWebサイトにアクセスするとブラウザ内で任意のコードが実行されて、システムが攻撃者に乗っ取られる可能性があるとされています。
参照:CVE-2023-2033 Detail(https://nvd.nist.gov/vuln/detail/CVE-2023-2033)
また、Chromeの拡張機能を利用して悪意のあるプログラムをインストールさせるケースが多数報告されています。拡張機能をインストールする前に、Chromeウェブストアなどで開発者の評判を確認してレビューを参照することが推奨されています。また、明らかに過剰な権限や一見すると無関係な権限などを要求するような拡張機能には十分に注意しましょう。
Chromeのバージョン確認およびアップデートのやり方
では、脆弱性に対応した最新のアップデートがChromeに反映されているかどうか、確認する方法をお伝えします。
Chromeを開き右上の点が三つ並んだアイコンをクリック→ヘルプ→Google Chromeについて、をクリック。そこでChromeは最新の状態ですと表示されれば、直近のセキュリティ対策が反映されています。
基本的には自動で更新されますが、設定画面(chrome://settings/help)へアクセスすることによって即時のアップデートも可能です。アップデートを完全に適用するには、「Google Chrome」の再起動が必要になります。
まとめ
「 Chromeは安全なの?最近の脆弱性情報も一緒にわかりやすく解説します」と題して、ご紹介してまいりました。本記事から、ブラウザのセキュリティを高める必要性がお分かりいただけたと思います。
Chromeの脆弱性が発見された場合、Chromeを作っている開発チームが対応するのは当たり前の流れだと思います。ではもし貴方のサイトに脆弱性が見つかり攻撃されたらどうしますか?
恐らく膨大の調査時間とコストがかさむはずです。会社のサイトへのセキュリティ対策は必須と言えるでしょう。そこで次の情報をご覧になってみてはいかがでしょうか?
当サイトではWebサイト、モバイル端末、IoT機器が抱える脆弱性によるリスクへの対策を検討している方や、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。
