CVE-2025-10585:実際の攻撃で悪用された Chrome V8 JavaScript・WebAssembly エンジンの新たなゼロデイ脆弱性

[post-views]
9月 18, 2025 · 6 分で読めます
CVE-2025-10585:実際の攻撃で悪用された Chrome V8 JavaScript・WebAssembly エンジンの新たなゼロデイ脆弱性

既に実際の攻撃で悪用されている Citrix NetScaler の重大な RCE 脆弱性 CVE-2025-7775 の発見に続き、サイバー脅威領域で新たなゼロデイ脆弱性が出現し、実際の攻撃で積極的に悪用されています。CVE-2025-10585 として追跡されているこの問題は、Chrome の V8 JavaScript および WebAssembly エンジンにおける高深刻度のタイプ混乱 (Type Confusion) 脆弱性であり、攻撃者が巧妙に作成した JavaScript を含む改ざんサイトにユーザーを誘導することで、被害者のシステム上で悪意のあるコードを実行できます。

ゼロデイ脆弱性の悪用は全体的に増加しており、悪用可能な時間が短縮されているため、タイムリーな更新が不可欠です。2025年に入ってからすでに、Google Chrome のゼロデイ脆弱性が実際の攻撃で悪用された公的に記録された事例は6件あり、その中には CVE-2025-5419 および CVE-2025-6558 が含まれます。新たに発見された Chrome ゼロデイはすでに悪用されており、何百万もの組織がリスクにさらされています。

SOC Prime プラットフォームに登録 して、トップレベルのサイバーセキュリティ専門知識と AI を活用し、大規模な防御を強化しましょう。SOC Prime プラットフォームは、該当する「CVE」タグでフィルタリングされた脆弱性悪用試行をタイムリーに検出・対応できる包括的な検知スタックを提供します。Explore Detections をクリックして、CVE 悪用リスクを低減するための関連 Sigma ルールを入手してください。

Explore Detections

すべての検知は AI ネイティブの脅威インテリジェンスで強化され、詳細な脅威コンテキストを提供し、MITRE ATT&CK® にマッピングされています。検知アルゴリズムは、複数の SIEM、EDR、データレイク技術に自動変換でき、検知エンジニアリング作業の効率化に役立ちます。

セキュリティチームはさらに、Uncoder AI を活用して検知エンジニアリングをエンドツーエンドで実施できます。レポートから生の脅威インテリジェンスを取得してカスタム IOC クエリに変換し、Attack Flows を可視化し、ATT&CK タグ予測を有効化、AI 駆動のクエリ最適化を適用し、検知コードをさまざまな言語形式に変換できます。

CVE-2025-10585 分析

Google は最近、Chrome ブラウザ向けのセキュリティアップデートを公開 しました。この中には、CVE-2025-10585 として特定されたゼロデイ脆弱性も含まれています。これは Chrome の V8 JavaScript および WebAssembly エンジンにおけるタイプ混乱の欠陥であり、ユーザーが悪意のあるウェブページを読み込むだけで任意コード実行やクラッシュを引き起こす可能性があり、大規模な悪用キャンペーンで非常に危険です。

Google の研究者は 2025 年 9 月 16 日に CVE-2025-10585 を発見し報告しました。ベンダーは、ユーザーがパッチを適用する前に攻撃者が脆弱性を悪用することを防ぐため、技術的詳細や悪用情報を公開していません。

この積極的に悪用されるバグに加え、アップデートはシステム侵害につながる可能性のある他の高深刻度脆弱性 3 件も修正します。そのうちの 1 件、CVE-2025-10500 は Dawn WebGPU 実装の Use-After-Free バグです。

ベンダーは、CVE-2025-10585 のエクスプロイトが実際の攻撃で使用されていることを確認しました。この脅威の出現は、今年における Chrome の 6 件目のゼロデイで、実際に悪用されるか、PoC 攻撃で示されたケースとなります。

CVE-2025-10585 の悪用リスクを軽減するため、Chrome ユーザーは Windows および macOS ではバージョン 140.0.7339.185/.186、Linux では 140.0.7339.185 へ更新することが推奨されます。Microsoft Edge、Brave、Opera、Vivaldi など他の Chromium ベースのブラウザユーザーも、対応するセキュリティアップデートが公開され次第インストールしてください。安全を確保するため、ユーザーは手動で更新を確認でき、組織はすべてのシステムが更新されるまでパッチ適用と追加保護を優先する必要があります。

Google Chrome およびその他の人気ソフトウェアにおけるゼロデイ脆弱性が増加し、悪用の試みが急増する中、組織はセキュリティ体制の維持に細心の注意を払う必要があります。SOC Prime は、AI、オートメーション、実用的な CTI に基づくエンタープライズ対応の防御を提供し、完全な製品スイート をセキュリティチームに装備させ、さらに ゼロトラスト セキュリティ原則に基づき、組織がサイバー脅威を効果的に克服できるよう支援します。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-41248 & CVE-2025-41249:Spring FrameworkとSpring Securityの脆弱性による認可バイパスと機密データ漏洩 6 分で読めます 最新の脅威 CVE-2025-41248 & CVE-2025-41249:Spring FrameworkとSpring Securityの脆弱性による認可バイパスと機密データ漏洩 by Daryna Olyniychuk CVE-2025-7775 脆弱性:NetScaler を標的とした新たな重大 RCE ゼロデイが積極的に悪用中 5 分で読めます 最新の脅威 CVE-2025-7775 脆弱性:NetScaler を標的とした新たな重大 RCE ゼロデイが積極的に悪用中 by Daryna Olyniychuk CVE-2025-43300 脆弱性:iOS・iPadOS・macOSのゼロデイが積極的に悪用中 6 分で読めます 最新の脅威 CVE-2025-43300 脆弱性:iOS・iPadOS・macOSのゼロデイが積極的に悪用中 by Veronika Telychko
すべてのニュース