セキュリティ専門家は、さまざまな「Webブラウザの脆弱性」の悪用について警鐘を鳴らしている。具体的にはどのような脆弱性なのか。2つの例を取り上げて説明する。
WebブラウザはさまざまなWebサイトやクラウド型の業務アプリケーション、生成AI(人工知能)ツールにアクセスするために不可欠なので、いかにそのセキュリティを高めて安全利用につなげるかが重要だ。セキュリティ強化のために知っておきたい、企業を危険にさらすWebブラウザの脆弱(ぜいじゃく)性とは。
セキュリティベンダーLayerX Securityのレポート「2025 Browser Security Report」(2025年ブラウザセキュリティレポート)は、ブラウザ拡張機能が企業の「管理されていない大きな脆弱性」になると指摘する。特に生成AIツールの普及によって、企業はさまざまな社内データをWebブラウザ経由で生成AIツールに提供するようになっている。Webブラウザの脆弱性が悪用された場合、生成AIツール提供用データが攻撃者の手に入る恐れがあると同社は説明する。
Webブラウザは攻撃の標的になることに加え、攻撃を実行する手段として利用されることもある。セキュリティベンダーのレポート「State of Browser Security Report 2025」(2025年ブラウザセキュリティの現状レポート)によると、マルウェア感染の約7割に、Webブラウザが使われている。
近年、ベンダーはWebブラウザの保護力を強化するために、さまざまなセキュリティ対策を講じている。しかし、攻撃者も常にWebブラウザの「穴」を探しており、Webブラウザに関連するセキュリティ事故が後を絶たない。以下で、最近の2つの具体例を取り上げてみよう。
無償のVPN(仮想プライベートネットワーク)サービス「Urban VPN Proxy」のブラウザ拡張機能が、OpenAIの「ChatGPT」やAnthropicの「Claude」を含む8つのAIツールとのやり取りからユーザーデータを収集していることが判明した。
セキュリティベンダーKoi Securityによると、Urban VPN Proxyバージョン5.5.0以降、「Google Chrome」と「Microsoft Edge」用のブラウザ拡張機能が、標的となるAIツールにスクリプトを注入し、プロンプトや回答、メタデータを含むデータを傍受し、流出させている。このデータ収集はUrban VPN Proxy のVPN機能とは独立しており、ブラウザ拡張機能をアンインストールしない限り、無効にすることはできないという。
Appleは2025年12月、脆弱性「CVE-2025-43529」と「CVE-2025-14174」のパッチ(修正プログラム)を提供した。これらの脆弱性は同社Webブラウザ「Safari」などで使われているソフトウェア「WebKit」に存在し、悪用された場合、不正なWebコンテンツによって任意のコード実行を可能にする恐れがある。Googleの脅威分析部隊Threat Analysis Group(TAG)との協力で発見された。
Appleは、これらの脆弱性が特定の個人を標的としたスパイ目的の攻撃に関連する可能性があると説明している。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
