この脆弱性(CVE-2025-2783)は、サイバー攻撃者がChromeのサンドボックス保護システムを回避できるものでした。エクスプロイトには、悪意のあるリンクをクリックするだけで攻撃が成立する非常に高度な技術が用いられていました。当社はこの攻撃活動を「Operation ForumTroll」と名付けました。
[本リリースは、2025年3月26日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※のリサーチャーはこのたび、Google Chromeブラウザのゼロデイ脆弱(ぜいじゃく)性(CVE-2025-2783)を特定し、Googleに報告しました。この脆弱性は、サイバー攻撃者がChromeのサンドボックス保護システムを回避できるものでした。当社が発見したエクスプロイトには、悪意のあるリンクをクリックするだけで攻撃が成立する、非常に高度な技術が用いられていました。リサーチャーはこの攻撃活動を「Operation ForumTroll(フォーラムトロール)」と名付けました。この脆弱性に対するセキュリティパッチは、2025年3月25日にGoogleからリリースされました。
2025年3月中旬、当社のソリューションは、あるマルウェア感染の高まりを検知しました。それは、フィッシングメール内の個別にカスタマイズされた悪意のあるリンクをクリックするだけで、システムが侵害されるというものでした。GReATのリサーチャーが詳細を分析したところ、このエクスプロイトがGoogle Chromeの最新バージョンの未知の脆弱性を利用していることが判明し、当社は速やかにGoogleのセキュリティチームに通知しました。攻撃活動の目的は主にスパイ行為で、高度なAPT(持続的標的型)攻撃グループによる可能性が高いとみています。
攻撃者は、国際フォーラム「Primakov Readings(プリマコフ・リーディングス)」への招待を装ったフィッシングメールを送信していたことから、リサーチャーはこの攻撃活動を「Operation ForumTroll」と名付けました。標的となったのは、主にロシアのメディア、教育機関、政府機関でした。悪意のあるリンクは、検知を回避するために極めて短期間で無効化されるように設計されており、ほとんどの場合、エクスプロイトが削除されると「Primakov Readings」の正規のウェブサイトにリダイレクトされていました。
今回発見したChromeのゼロデイ脆弱性の悪用は攻撃チェーンの一部であり、少なくとも二つのエクスプロイトが使われていました。一つは、当攻撃の活動を開始するもので、まだ詳細が明らかになっていないリモートコード実行(RCE)のエクスプロイトです。もう一つは、当社が今回発見したChromeのサンドボックスを回避するエクスプロイトです。このマルウェアを分析した結果、攻撃活動が主にスパイ行為を目的として設計されたことが示唆されており、高度なAPT攻撃グループが関与していると考えています。
当社は現在も、Operation ForumTrollの調査を継続しています。エクスプロイトや悪意のあるペイロードの技術的分析ほか詳細については、Chromeユーザーの安全性が確保された後に、レポートで公開する予定です。なお、全てのカスペルスキー製品は、この悪意のある攻撃チェーンと関連するマルウェアを検知・ブロックし、ユーザーを脅威から保護します。
今回の未知の高度なマルウェアによる感染の高まりを検知する上で、Kaspersky Next EDR Expertが重要な役割を果たしました。また、エクスプロイトを検知・ブロックする当社の技術によって、ゼロデイ攻撃が公になる前に迅速に特定し、その挙動や影響を詳細に分析することができました。
KasperskyのGReATでプリンシパルセキュリティリサーチャーを務めるボリス・ラリン(Boris Larin)は、次のように述べています。「これまでに発見した数多くのゼロデイ脆弱性を狙う攻撃の中でも、今回の攻撃は際立っています。このエクスプロイトは、明らかに悪意のある動作を一切行うことなく、まるでセキュリティ境界が存在しないかのようにChromeのサンドボックス保護システムを回避していました。この高度な技術は、相当なリソースを持つ組織によって開発されたと考えられます。全てのユーザーに対して、Google Chromeおよび Chromiumベースのブラウザを最新バージョンに更新することを強く推奨します」
当社はGoogleから、この問題を明らかにし報告したことへの謝意を受けました。このような当社の取り組みは、世界中のサイバーセキュリティコミュニティとの連携および、ユーザーの安全確保の一環となります。
■ 今回のような高度な攻撃からご自身を守るために、以下のような保護対策を推奨します。
・ソフトウェアの更新をタイムリーに実施する。オペレーティングシステムやブラウザ(特にGoogle Chrome)を定期的に更新し、攻撃者が新たな脆弱性を悪用できないようにする。
・多層防御のアプローチを採用する。エンドポイント保護に加えて、人工知能(AI)や機械学習(ML)を活用して複数のソースからのデータを相関させ、高度な脅威やAPT攻撃活動に対する検知とレスポンスを自動化するソリューションKaspersky Next XDR
Expertを検討する。
・脅威インテリジェンスサービスを活用する。Kaspersky Threat Intelligenceのような最新かつ文脈に即した情報は、新たに登場するゼロデイエクスプロイトや最新の攻撃手法に関する情報を入手するのに役立つ。
■ 詳細は、Securelistブログ(英語)「Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain」でご覧いただけます。
※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。