Googleは2025年7月17日、Chromeブラウザの6つのセキュリティ脆弱性を修正するアップデートをリリースしました。
このアップデートによりバージョンがWindows・macOS版で138.0.7204.157/.158、Linux版で138.0.7204.157となりました。
修正された脆弱性のうち、CVE-2025-6558は実際に悪用されているゼロデイ脆弱性です。この脆弱性はChromeのANGLEおよびGPUコンポーネントにおける信頼できない入力の検証不足が原因で、攻撃者は特別に作成されたHTMLページを通じてブラウザのセキュリティサンドボックスを突破できます。
GoogleのThreat Analysis Group(TAG)が2025年6月23日にこの脆弱性を発見・報告しました。ANGLEはAlmost Native Graphics Layer Engineの略称で、ブラウザのグラフィックスコマンドを翻訳するオープンソースソフトウェアです。
From: 
Chrome fixes 6 security vulnerabilities. Get the update now!
【編集部解説】
ANGLEの役割と脆弱性の技術的背景
ANGLE(Almost Native Graphics Layer Engine)は、WebGLやDirect3D、Vulkanなどの異なるグラフィックスAPIを統一的に扱うためのGoogle製の翻訳レイヤーです。この技術により、ウェブブラウザは様々なOS環境で一貫した3Dグラフィックス体験を提供できます。ChromeだけでなくEdgeやFirefoxでも使用されており、現代のウェブ体験の基盤となっています。
今回の脆弱性CVE-2025-6558は、このANGLEとGPUコンポーネントにおける入力検証の不備が原因となっています。攻撃者は特別に作成されたHTMLページを通じて、ブラウザのサンドボックスを突破し、より深いシステムアクセスを獲得する可能性があります。
2025年のChromeゼロデイ脆弱性の傾向
CVE-2025-6558は、2025年にChromeで修正されたゼロデイ脆弱性の一つです。これまでにもCVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554といった脆弱性が修正されており、年間を通じて継続的な脅威にさらされている状況が浮き彫りになっています。
この頻度の高さは、Chromeが世界最大のブラウザシェアを持つことで攻撃者の標的となりやすい現実を反映しています。同時に、Googleの脅威分析チーム(TAG)による積極的な脆弱性発見と迅速な修正対応も示しています。
国家支援型攻撃の可能性
GoogleのThreat Analysis Groupが発見したという事実は、この脆弱性が商用スパイウェアや国家支援型攻撃グループによって悪用されている可能性を示唆しています。TAGは通常、高度で持続的な脅威(APT)や監視目的の攻撃を調査対象としているためです。
ただし、具体的な攻撃手法や被害の詳細については、Googleは従来通り公表を控えており、これは攻撃者への情報提供を避けるための標準的な対応です。
サンドボックス回避の深刻な影響
ブラウザのサンドボックスは、各タブやプラグインを独立したプロセスで実行し、悪意のあるコードがシステム全体に影響を与えることを防ぐ重要なセキュリティ機能です。今回の脆弱性によるサンドボックス回避は、単純なウェブページ訪問だけでユーザーのデバイス全体が危険にさらされる可能性を意味します。
これは従来の「ブラウザ内での被害」から「システム全体の侵害」へと脅威レベルが大幅に上昇することを示しています。
Chromiumベースブラウザへの波及効果
ChromeのセキュリティアップデートはMicrosoft Edge、Brave、Opera、VivaldiなどのオープンソースプロジェクトChromiumをベースとするブラウザにも影響を与えます。これらのブラウザベンダーは独自にパッチを適用する必要があり、修正までに時間差が生じる可能性があります。
長期的な視点でのセキュリティ動向
企業や組織にとって、自動アップデートの徹底とセキュリティポリシーの見直しが急務となっています。WebGLや高度なグラフィックス処理は、ウェブアプリケーションの可能性を大幅に拡張していますが、これらの技術の複雑性が新たな攻撃面を生み出していることも事実です。今後、より安全なグラフィックス処理アーキテクチャの開発が求められるでしょう。
【用語解説】
ゼロデイ脆弱性
開発者が修正対策を行う前に、既に攻撃者に悪用されている脆弱性のこと。情報公開前に攻撃が行われるため深刻なリスクを伴う。
CVE-2025-6558
今回のChromeで発見された脆弱性の識別番号。ANGLEとGPUコンポーネントにおける信頼できない入力の検証不足が原因である。
サンドボックス
ブラウザやアプリの動作空間を隔離し、不正な動作がシステム全体に影響を及ぼすのを防ぐセキュリティ機構。今回の脆弱性はこの仕組みを突破する危険性がある。
WebGL
ウェブブラウザ上で3Dグラフィックスを描画するための技術標準。ANGLEがこの技術を支える重要な役割を果たしている。
【参考リンク】
Google Threat Analysis Group(外部)
Googleの政府支援ハッキング対策用の専門セキュリティチーム。今回の脆弱性も発見
ANGLE (Almost Native Graphics Layer Engine)(外部)
Googleが開発したクロスプラットフォームグラフィックスレイヤー。重要なコンポーネント
Google Chrome(外部)
Googleが提供する主要なウェブブラウザ。今回の脆弱性修正の対象となったソフトウェア
CVE-2025-6558 Detail – NVD(外部)
米国国立標準技術研究所による脆弱性データベース。CVE-2025-6558の詳細情報
【参考記事】
「Chrome」に脆弱性、すでに悪用も – アップデートが公開(外部)
日本のセキュリティ専門メディアによる詳細な解説。CVE-2025-6558を含む6件の脆弱性修正
Google fixes actively exploited sandbox escape zero day in Chrome(外部)
セキュリティメディアによる詳細報道。サンドボックス回避攻撃の仕組みと影響を解説
Urgent: Google Releases Critical Chrome Update for CVE-2025(外部)
The Hacker Newsによる緊急報告。CVE-2025-6558の発見者の功績と過去の脆弱性との関連性
Google Chrome Multiple Vulnerabilities – HKCert(外部
)香港コンピュータ緊急対応チームによる脆弱性情報。CVE-2025-6558の実際の悪用状況を確認
Stable Channel Update for Desktop – Chrome Releases(外部)
Google公式のリリース情報。バージョン138.0.7204.157/.158の詳細とアップデート手順
【編集部後記】
今回のChromeゼロデイ脆弱性を見て、皆さんはどのような対策を取られていますか?自動更新を信頼して任せっきりにしているでしょうか、それとも定期的に手動で確認されているでしょうか?
私たちの日常に欠かせないブラウザが、実は国家支援型攻撃者の標的になっているという現実を目の当たりにすると、改めてセキュリティの重要性を感じます。特に今回のようなサンドボックス回避攻撃は、単純にウェブページを訪問するだけでシステム全体が危険にさらされる可能性があり、決して他人事ではありませんよね。
皆さんの組織や個人での情報セキュリティ対策について、ぜひコメントで共有していただけませんか?また、WebGLやANGLEのような基盤技術の脆弱性について、どのような懸念をお持ちでしょうか?読者の皆さんの実体験や対策方法を聞かせていただけると、とても参考になります。
