Android Policeは7月25日(現地時間)、「Chrome zero-day exploit used to target journalists in the Middle East」において、Google ChromeのWebRTCのゼロデイ脆弱性が中東のジャーナリストを標的とした攻撃に悪用されていると伝えた。
該当するのは識別番号「CVE-2022-2294」の脆弱性で、2022年7月4日にリリースされたChrome 103.0.5060.114で修正されているが、依然としてアップデートを適用していない場合は脅威になり得るとしている。
CVE-2022-2294はAvastの研究者によって7月1日に発見・報告されたが、その時点で積極的な悪用が確認されていたという。Avastの調査では、2022年3月に「Candiru」と呼ばれるイスラエルのスパイウェアディストリビューターがCVE-2022-2294の脆弱性の悪用を開始したことが明らかになったとのこと。CVE-2022-2294は、主にレバノンうやパレスチナ、トルコ、イエメンのジャーナリストや著名人を標的とした攻撃に利用されたとみられている。
この脆弱性の特徴は攻撃への悪用が容易なことで、被害者は悪意のあるスクリプトを埋め込んだWebページを閲覧するだけで、タイムゾーンや言語、Cookie、ブラウザプラグインなどをはじめとする様々な情報を盗み取られる危険性がある。さらに、CVE-2022-2294で得られた情報をもとにして、被害者のPCにある脆弱なドライバを悪用する「Bring Your Own Vulnerable Driver(BYOVD)」攻撃が行われる事例も確認されたという。
CVE-2022-2294の悪用はWindows版のChromeでのみ確認されたとのことだが、Android Policeは、この脆弱性の性質上、AppleのSafariにも同様のリスクが潜んでいる可能性があると指摘している。