Chromium をベースとするブラウザに影響する未修正の脆弱性について、概念実証 (PoC) コードが公開状態になったことが Ars Technica により報告されました。
セキュリティ研究者の Lyra Rebane 氏が Google へ非公開で報告していたもので、約 29 か月が経過した現在も修正されていません。
影響を受けるのは Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi、Arc など Chromium をベースとするほぼすべてのブラウザで、Firefox と Safari は対象外です。
Browser Fetch API を悪用したボットネット化の仕組み
この脆弱性は、動画や大容量ファイルをバックグラウンドでダウンロードし続けるための「Browser Fetch API」と呼ばれる Web 標準の技術を悪用したものです。
タブやブラウザを閉じた後もダウンロードを継続できるこの機能を使い、悪意のあるサイトの JavaScript からサービスワーカーを起動することで、ブラウザとリモートサーバーの間に持続的な接続を確立できます。
これにより、ユーザーが気づかないまま、ブラウザが第三者の攻撃インフラの一部として利用される状態(ボットネット)になります。
悪用された場合に気づきにくいことも特徴で、次のような操作が可能になるとされています。
- 匿名プロキシとしての利用 : ブラウザを経由して別のサイトへのアクセスを中継
- DDoS 攻撃への参加 : ブラウザを踏み台にした分散型サービス拒否攻撃
- ブラウジング状況の監視 : ユーザーのブラウザ使用状況の一部を把握
たとえば、Microsoft Edge では理由のわからないダウンロードのドロップダウンが一時的に表示されることがありますが、実際のファイルはなく、2 回目以降は表示されなくなります。
Chrome でも同様の表示が出ることがありますが、大半のユーザーはブラウザの一時的な不具合と判断してそのままにしてしまうと Rebane 氏は指摘しています。
約 29 か月修正されず
Chromium の IssueTracker では、Google のエンジニア 2 名がこの脆弱性を「深刻な脆弱性」と認め、社内の深刻度分類で上から 2 番目にあたる「S1」に分類していましたが、修正には至りませんでした。
この点について Rebane 氏は Ars Technica の取材に対し、メールやファイル、パスワードへの直接アクセスを許すものではないため、担当者の間で優先度の評価がずれ、対応が長期化したと説明しています。
今回 PoC コードが公開状態になったのは、Google が IssueTracker へ誤って投稿したことが原因で、Google はその後投稿を削除しましたが、アーカイブサイトにはコードが残っています。
現状と対策
Firefox と Safari は Browser Fetch API 自体に対応していないため、この脆弱性の影響を受けません。
現時点では Google から正式なコメントは出ておらず、修正パッチの提供時期も不明です。
もし、理由なくダウンロードのドロップダウンが表示されている場合は、この脆弱性が悪用されている可能性も考えられます。不審なサイトや出所不明のリンクへのアクセスを避けること以外に、現状有効な回避策はありません。
