**Google Chrome**や**Microsoft Edge**など、多くの人気ブラウザの基盤となっているオープンソースプロジェクトである**Chromium**に、**Google**によって誤って公開されたゼロデイ脆弱性が存在します。セキュリティ研究者の**Lyra Rebane**氏が報告したこの脆弱性は、ブラウザを閉じてもJavaScriptコードがバックグラウンドで実行され続けることを可能にし、影響を受けるデバイスでリモートコード実行（RCE）につながる可能性があります。 ### 脆弱性の概要 2022年12月に有効と認められたこの脆弱性は、**Chromium**がService Workerを処理する方法の欠陥に起因しています。攻撃者は、ブラウザを閉じても永続するService Worker（例：無限ダウンロードタスク）を持つ悪意のあるウェブページを作成することで、これを悪用する可能性があります。**Rebane**氏の説明によると、これにより攻撃者は訪問者のデバイス上で任意のJavaScriptコードを実行し、事実上、意図しないボットネットのメンバーに変えることが可能になります。 「『ボットネット』を作成するために数万回のページビューを獲得することは現実的であり、人々はJavaScriptが自分のデバイス上でリモート実行される可能性があることに気づかないでしょう」と、**Rebane**氏は元のバグレポートで述べています。 潜在的な悪用シナリオには、分散型サービス拒否（DDoS）攻撃の実行、悪意のあるトラフィックのプロキシ、ターゲットサイトへのトラフィックのリダイレクトなどが含まれます。 ### 広範な影響 この問題は、**Google Chrome**、**Microsoft Edge**、**Brave**、**Opera**、**Vivaldi**、**Arc**を含むすべての**Chromium**ベースのブラウザに影響します。この広範な影響は、潜在的な攻撃対象領域を大幅に増加させます。 ### 永続的な問題 2022年に報告されたにもかかわらず、この問題は未解決のままでした。2024年10月26日、**Google**の開発者はこの脆弱性の重大性を指摘し、ステータスの更新を要求しました。このバグは今年2月10日に一時的に修正済みとマークされましたが、未解決の懸念によりすぐに再オープンされました。その後、2月12日に再度修正済みとマークされましたが、パッチは出荷されませんでした。 **Rebane**氏は、**Chrome** Vulnerability Rewards Program（VRP）を通じて1,000ドルのバグバウンティを受け取りました。しかし、バグが14週間以上クローズされ、修正済みとマークされた後、**Chromium** Issue Trackerへのアクセス制限は5月20日に解除されました。 再テストの結果、**Rebane**氏は**Chrome Dev 150**および**Edge 148**で脆弱性が依然として存在することを発見しました。研究者は、次のように述べて投稿でこの問題を強調しました。 > 「2022年に、ユーザーの操作なしに、あらゆる**Chromium**ベースのブラウザを永続的なJSボットネットメンバーに変えることができるバグを見つけました」と、<a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606719764376414">研究者は昨日投稿で述べました</a>。 > 「Edgeでは、何も異常に気づくことなく、ブラウザを閉じてもC2に接続されたままになります。」 ### よりステルスな悪用 さらに悪いことに、以前はエクスプロイトのトリガー時に表示されていたダウンロードプロンプトが、最新バージョンの**Edge**では表示されなくなり、エクスプロイトはさらにステルスになりました。 > 「ああ、これは実際には適切に修正されておらず、まだ機能していることに気づきました」と、<a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606836889483917">Rebane氏はMastodonに投稿しました</a>。 > 「さらに悪いことに、Edgeはダウンロードメニューを表示しなくなったため、ブラウザを閉じても実行され続ける完全にサイレントなJS RCEです!!すべて、一度ウェブサイトを訪問するだけで!!」 ### 誤った公開と潜在的な影響 問題はすぐに非公開に戻されましたが、公開されたことで情報が漏洩しました。**Rebane**氏は<a rel="nofollow noopener" href="https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/">Ars Technicaに語った</a>ところによると、**Google**の公開により悪用は「かなり容易」になるだろうが、大規模なボットネットにスケールアップするのはより複雑であるとのことです。同氏は、このバグはブラウザのセキュリティ境界をバイパスするものではなく、攻撃者にメール、ファイル、またはホストOSへのアクセスを許可するものではないと明確にしました。 漏洩した詳細を考慮すると、多数のユーザーに対するリスクは重大です。**Google**はこの問題を緊急事態として扱い、早急に緊急修正をリリースすると予想されます。 BleepingComputerは**Google**にコメントを求めていますが、まだ返答はありません。 <div><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p><div><h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">検証ギャップ：自動ペネトレーションテストは1つの質問に答えます。あなたには6つ必要です。</a></h2><p>自動ペネトレーションテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを通過できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。</p><p>このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。</p><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">今すぐダウンロード</a></p></div></div>