2025年7月1日、MicrosoftはEdgeのセキュリティアップデートを公開し、複数の深刻な脆弱性を修正しました。中でもCVE-2025-6554は、Google Chromeと共通するV8エンジンの「型混乱」に関するゼロデイ脆弱性で、すでに実際の攻撃が確認されています。
本記事では、今回の脆弱性の概要、被害リスク、その他の関連脆弱性、そして企業や一般ユーザーが取るべき対応策についてわかりやすく解説します。
修正された主な脆弱性一覧(2025年7月1日配信)
2025年7月1日に配信されたMicrosoft Edgeのセキュリティアップデート(バージョン138.0.3351.65)では、以下の5つのCVE(共通脆弱性識別子)が修正されました。いずれも深刻度が高く、即時の対応が推奨されます。
| CVE番号 | 概要 | 深刻度 |
|---|---|---|
| CVE-2025-6554 | V8エンジンにおける型混乱(ゼロデイ攻撃確認) | 高(重大) |
| CVE-2025-49713 | V8エンジンの型混乱による任意コード実行 | 高 |
| CVE-2025-49741 | 情報漏洩を引き起こす設計上の欠陥 | 高 |
| CVE-2025-6191 | メモリ破壊の可能性がある整数オーバーフロー | 高 |
| CVE-2025-6192 | Use-After-Free(解放済みメモリの再利用) | 高 |
▼ Microsoft からのリリース🔗
CVE-2025-6554の詳細解説:すでに攻撃が確認されたゼロデイ脆弱性
CVE-2025-6554 は、GoogleのChromiumチームが発見・報告した V8 JavaScriptエンジンの型混乱(Type Confusion) に関する脆弱性です。これはMicrosoft Edgeの基盤となるChromiumエンジンにも共通して存在しており、Edgeでも同様のリスクを抱えていました。
この脆弱性は、JavaScriptの動的処理において オブジェクトの型を誤って扱うことにより、意図しないメモリ領域へのアクセスや任意コードの実行が可能になる というものです。
攻撃の実態とリスク
Googleはこの脆弱性について「すでに実際の攻撃が確認されている(Exploited in the wild)」と明言しており、極めて深刻なゼロデイ脆弱性です。
悪意のあるWebサイトやオンライン広告などを経由して、ユーザーの操作なしに自動的に攻撃が成立する可能性も指摘されています。特にセキュリティ更新を適用していない企業環境や共有PCにおいては、以下のような被害が現実的に想定されます。
- リモートコード実行(RCE)によるシステム乗っ取り
- 機密情報の窃取(Cookie、セッションID等)
- ランサムウェア・バックドアの侵入経路としての利用
技術的背景:なぜ危険なのか?
「型混乱(Type Confusion)」とは、あるオブジェクトを誤って別の型として扱ってしまうプログラム上のバグであり、V8エンジンの最適化コンパイルの過程で発生します。この処理に脆弱性があると、攻撃者は不正な型のデータを通して 本来アクセスできない領域のメモリを書き換える ことが可能となります。
このようなメモリ破壊系の脆弱性は、極めて汎用的な攻撃ベクトルとして知られており、防御が難しいことでも有名です。
Microsoft Edgeのセキュリティアップデート方法とは
Microsoft Edgeは、ブラウザを再起動すると自動的に最新バージョンへ更新される仕組みになっています。そのため、通常は特別な操作を行う必要はありません。
ただし、企業のセキュリティポリシーやシステム設定により、自動更新が無効になっている場合があります。その場合は、情報システム担当者に問い合わせるか、以下のMicrosoft公式ヘルプページを参考に手動で更新を行いましょう。
🔗 Microsoft Edgeの更新設定
まとめ:今回のEdge脆弱性は“ゼロデイ攻撃” ― アップデートは急務
2025年7月1日に公開されたMicrosoft Edgeのセキュリティアップデートでは、すでに攻撃が発生しているゼロデイ脆弱性CVE-2025-6554を含む、複数の重大なセキュリティ問題が修正されました。
このようなゼロデイ攻撃は、検知や防御が非常に難しいため、「今すぐアップデートすること」が最も重要な防御策となります。特に企業環境では、組織全体のアップデート状況を早急に確認し、従業員にも情報を共有しましょう。
コメント