米CISA、Chromeの新たな脆弱性を「悪用中リスト」に追加—政府機関に対し早急な修正を命令

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Google Chromeに存在していた新たな脆弱性「CVE-2025-4664」を、実際に悪用されている脅威として「既知の悪用された脆弱性（KEV）」カタログに追加した。

この脆弱性は、セキュリティ研究者グループSolidlabにより最近発見されたもので、「Google ChromeのLoaderにおけるポリシー強制の不備」として報告されている。国家脆弱性データベース（NVD）によれば、このバグにより、攻撃者が細工されたHTMLページを用いてクロスオリジンのデータを不正に取得できる恐れがある。

特に、OAuthなどで使用されるクエリパラメータには機密情報が含まれることが多く、悪用されればアカウント乗っ取り（Account Takeover）につながる危険性があるという。

CISAは、連邦政府の民間執行機関（FCEB）に対し、3週間以内にChromeの修正パッチを適用するよう命じており、迅速な対応が求められている。Googleはすでにこの問題に対するパッチをリリースしているが、CISAの動きは、依然としてこの脆弱性が積極的に悪用されていることを示している。

この件は、政府・企業・個人を問わず、ブラウザのセキュリティ更新の重要性を改めて浮き彫りにしている。