2025年10月中旬に発見された「CVE-2025-12036」という脆弱性が、かなり深刻な状況です。そのため、Chrome(およびChromium系のブラウザ)を使っている方は、今すぐブラウザを最新版にアップデートしてください。何が危険で、どう対処すればいいのかをわかりやすく解説していきたいと思います。
今回の脆弱性の「深刻さ」
今回の発見された脆弱性はただの不具合ではありません。悪意ある攻撃者が、あなたのパソコンやスマホを遠隔操作できてしまう可能性があるかなり深刻なものです。
CVE-2025-12036とは?
CVE-2025-12036という番号は、セキュリティ業界で脆弱性を識別するための固有番号です。まるで犯罪者の指名手配番号みたいなものですね。
この脆弱性が発見されたのは2025年10月15日。発見したのは、GoogleのAI駆動型セキュリティツール「Big Sleep」です(最近はAIがセキュリティの番人としても活躍しているんですね)。
今回の問題は、Chromeの心臓部とも言えるV8 JavaScriptエンジンにあります。V8は、ウェブページ上で動くJavaScriptコードを実行するための重要なエンジン。つまり、ユーザーがウェブサイトを見たり、オンラインで買い物をしたりするときに、裏側でずっと働いている部分です。
今回見つかったのは、このV8に「不適切な実装」があったということ。簡単に言えば、本来守られるべきセキュリティの門番が、正常に働いていなかったという感じです。
リモートコード実行(RCE)攻撃の恐ろしさ
専門用語で「RCE(Remote Code Execution)」と呼ばれる攻撃タイプですが、これが本当に危険です。
いつも通りネットサーフィンをしていて、何気なくあるウェブサイトを開いたとします。その瞬間、何もクリックしていないのに、攻撃者があなたのパソコンで勝手にプログラムを実行できるようになってしまう──これがRCE攻撃の怖さです。
通常のウイルス感染なら「怪しいファイルをダウンロードして開いてしまった」とか「変なリンクをクリックしてしまった」という、何かしらのアクションが必要です。しかしRCE攻撃の場合、ページを開いただけで終わり。ユーザー側で防ぐ手段がほとんどありません。
これは「ドアに鍵をかけていたはずなのに、気づいたら勝手に開いていた」ようなもの。自分では何も悪いことをしていないのに、被害に遭ってしまう可能性があるということですね。
どんな被害が発生しうるか
この脆弱性を悪用されると、具体的にどんな被害が考えられるのでしょうか。いくつか例を挙げてみます。
パスワードやクレジットカード情報の漏洩
Chromeには便利なパスワード保存機能があります。また、自動入力機能でクレジットカード情報を保存している人も多いでしょう。攻撃者がブラウザを乗っ取れば、これらの情報すべてが丸見えになってしまいます。
オンラインバンキングのログイン情報、SNSのパスワード、メールアカウント──あなたのデジタルライフの鍵が全部盗まれる可能性があります。
端末そのものの乗っ取り
さらに怖いのは、ブラウザだけでなく、パソコンやスマホ本体まで操られる可能性があること。
攻撃者は遠隔地から、まるであなたのパソコンを直接操作しているかのように、ファイルを削除したり、新しいマルウェアをインストールしたり、あなたのウェブカメラで盗撮することさえできてしまいます。
被害規模の大きさ
Chromeの利用者は世界中で約35億人。日本でもブラウザシェアの半分以上をChromeが占めています。
つまり、この脆弱性は単なる「一部のユーザーの問題」ではなく、地球規模のセキュリティリスクというわけです。だからこそ、Googleも迅速に対応し、私たちも今すぐアップデートする必要があるわけですね。
Googleの対応
今回、GoogleのAIツール「Big Sleep」が脆弱性を発見したのが10月15日。そして、修正版がリリースされたのはわずか6日後の10月21日です。
この対応スピードは驚異的。通常、脆弱性の発見から修正まで数週間〜数ヶ月かかることも珍しくありません。Googleがいかにこの問題を深刻に受け止めているかがわかります。
修正内容
技術的な詳細は複雑なので省略しますが、要するに「V8エンジンのセキュリティの穴を塞いだ」ということです。
Googleは攻撃者に悪用されないよう、修正の細かい内容は公開していません。これは業界の標準的なやり方で、「修正内容を公開すると、それを見た悪い人がまだアップデートしていない人を狙ってくる」のを防ぐためです。
修正済みバージョン
脆弱性が修正されているバージョンは次の通りです。
| OS | 修正済みバージョン |
|---|---|
| Windows | 141.0.7390.122 または 141.0.7390.123 |
| macOS | 141.0.7390.122 または 141.0.7390.123 |
| Linux | 141.0.7390.122 |
| iOS | 142.0.7444.46 以降 |
| Android | 141.0.7390.122 |
自分のChromeがこのバージョン以上になっているか、必ず確認しましょう。
利用者が取るべき行動
ここからは、ユーザーがすぐにできる、そしてすぐにすべき対応策を説明します。
すぐに最新版にアップデートする
「後でやろう」は禁物です。 今すぐアップデートしてください。
Chromeは基本的に自動更新される設定になっていますが、更新が完了するまでには少し時間がかかることがあります。また、更新後にブラウザを再起動しないと、修正が反映されないという点に注意が必要です。
「アップデートしたはずなのに、まだ古いバージョンのまま動いている」というケースは少なくありません。再起動しない限り、使っているChromeは脆弱なままということです。
パソコン版Chromeのアップデート手順
- Chromeを開きます
- 画面右上の「︙」(縦に3つ並んだ点)をクリック
- 「ヘルプ」にカーソルを合わせます
- 「Google Chrome について」をクリック
すると、現在のバージョンが表示され、自動的にアップデートのチェックが始まります。
アップデートが必要な場合は「再起動」ボタンが表示されるので、必ずクリックして再起動してください。 この再起動を忘れると、せっかくダウンロードした修正が適用されません。
ちなみに、既に最新版になっている場合は「Google Chrome は最新版です」と表示されます。
Android版Chromeのアップデート手順
- Google Playストアを開きます
- 検索バーに「Chrome」と入力
- Chromeのアプリが表示されたら、「更新」ボタンをタップ(すでに最新版の場合は「開く」と表示されます)
スマホの場合も、アップデート後は一度Chromeのタスクを終了して、再度開き直してください。
iPhone/iPad版Chromeのアップデート手順
- App Storeを開きます
- 右上のプロフィールアイコンをタップ
- 下にスクロールして、Chromeの「アップデート」ボタンをタップ(最新版の場合は「開く」と表示されます)
iOSの場合も、前述したAndroid版と同様に、アップデート後は再起動しましょう。
他ブラウザ・今後への警鐘
Chrome以外のブラウザでも影響があるのは注意が必要な点です。
Chromium系ブラウザも要注意
Microsoft Edge、Brave、Opera、Vivaldiなど、多くの人気ブラウザはChromeと同じ「Chromium」というエンジンをベースにしています。つまり、Chromeに脆弱性があれば、これらのブラウザにも同じ問題がある可能性があります。
各ブラウザの開発元は、Googleの修正を自分たちのブラウザにも適用するのですが、そのタイミングには若干のズレがあります。そのため、Chromiumベースのブラウザを使っている人も最新版が配信されていないか必ず確認してください。
確認の手順はどのブラウザもChromeとほぼ同様です。
定期アップデートの習慣化を推奨
残念ながら、今回のような脆弱性は完全にゼロにはできません。ソフトウェアというものは、どれだけ優秀なエンジニアが作っても、必ず何かしらの不具合や抜け穴が残ってしまうものです。
そこで大事なのは「脆弱性は必ず存在する」という前提。常に最新の状態を保つこと。これが唯一にして最強の防御策です。
理想を言えば、2〜3日に1回は「アップデートがないか」確認する習慣を身につけるのがおすすめです。「そんなに頻繁に?」と思われるかもしれませんが、セキュリティは格段に向上します。
まとめと参考情報
今回のCVE-2025-12036は、ChromeのV8エンジンに存在した深刻な脆弱性です。リモートコード実行が可能という性質上、今すぐアップデートするのがおすすめです。
セキュリティは「めんどくさい」と感じることもあるかもしれません。でも、自分のデータ、プライバシー、さらには大切な人の情報を守るためには欠かせないものです。
今回の記事をきっかけに、ぜひセキュリティ意識を高めていただければ嬉しいです。
公式情報・参考リンク
