Bleeping Computerは5月16日(米国時間)、「CISA tags recently patched Chrome bug as actively exploited」において、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が先日修正されたGoogle Chromeの脆弱性「CVE-2025-4664」を「既知の悪用された脆弱性(KEV: Known Exploited Vulnerability)カタログ」に追加したと報じた。

この脆弱性の深刻度は「警告(Warning)」との評価にとどまっており、それほど高いわけではない。しかしながら、Bleeping ComputerによるとOAuthのセッション情報などを流出させ、オンラインアカウントの乗っ取りにつながる可能性があるという。

  • CISA tags recently patched Chrome bug as actively exploited

    CISA tags recently patched Chrome bug as actively exploited

Googleは5月14日に修正

Googleは5月14日(米国時間)に公開したChromeのアップデートにおいて、この脆弱性を含む4件の脆弱性を修正した(参考:「Google Chromeに4件の脆弱性、速やかなアップデートを | TECH+(テックプラス)」)。同社はこのアップデート情報の中で次のように述べ、今後悪用される可能性について注意を呼びかけている。

「GoogleはCVE-2025-4664に関する情報が公開されていることを認識しています」

CISAが5月15日に脆弱性カタログに追加

そしてアップデート情報を公開した翌日の5月15日(米国時間)、CISAは脆弱性が積極的に悪用されているとして既知の悪用された脆弱性カタログに追加した。悪用の開始は5月14日以降ではなく、概念実証(PoC: Proof of Concept)コードが公開された5月5日(協定世界時)以降の可能性に注意する必要がある。

CISAは「CVE識別番号(CVE-から始まる番号)」をカタログに登録しており、原則としてCVE情報の公開日以降に登録することになる。そのため、CVE-2025-4664の公開日翌日となる5月15日に登録を行ったとみられる。

Googleは5月14日にリリースしたアップデートでこの脆弱性を修正したが、攻撃者に積極的に悪用されており、Chromeユーザーには速やかなアップデートが推奨されている。