Google Chromeに重要なセキュリティパッチが適用されましたが、仮想通貨ウォレットは依然として危険にさらされている可能性があります。

Ledger CTO Charles Guillemet 氏は、 促します 暗号通貨ユーザーはGoogleのアップデート後すぐにGoogle Chromeをアップデートしてください リリース 26件の脆弱性に対処するセキュリティパッチ。うち4件は重大度「クリティカル」、22件は「高」と評価されている。 

これらの脆弱性には、メモリ管理エラーが含まれており、認証されていない攻撃者が、特別に細工されたウェブページを通じてリモートで悪意のあるコードを実行できる可能性がある。

LedgerのCTOは実際には何と言ったのか？

ギルメ氏は警告を公表し、Chromeのパッチそのものにとどまらない鋭い指摘を付け加えた。「大切な秘密情報をブラウザやコンピュータに預けてはいけないということを改めて思い知らされた」と彼は述べた。このコメントは、日常的にブラウザベースのウォレットや拡張機能を利用している仮想通貨ユーザーに向けたものだ。

今回のパッチサイクルで指摘された脆弱性は、メモリ管理エラーの典型的な3つのカテゴリに分類されます。

• 解放後使用条件とは、プログラムがメモリを解放した後もメモリを使い続ける状態を指します。
• ヒープバッファオーバーフローとは、割り当てられたメモリ領域を超えてデータが書き込まれる現象です。
• 境界外アクセスとは、コードが意図した範囲外のメモリを読み書きすることである。

これらの脆弱性はいずれも、システムメモリにペイロードを書き込んでリモートコード実行を実現するために悪用される可能性があり、多くの場合、ユーザーは悪意のあるウェブページにアクセスする以外に何も操作する必要はありません。

Chromeの脆弱性を悪用して、仮想通貨ウォレットの資金を実際に抜き取ることは可能でしょうか？

暗号資産はブラウザ自体ではなく、オンチェーンに保存されます。しかし、ブラウザの脆弱性を悪用した攻撃は、ブロックチェーンに直接アクセスしなくても深刻な被害を引き起こす可能性があります。攻撃の標的となるのはウォレットのインターフェース層であり、そこにこそリスクが現実味を帯びてくるのです。

MetaMask、Rabby、Phantomなどのブラウザウォレットは、主にChrome拡張機能として動作します。ブラウザ内でエクスプロイトが実行された場合、攻撃者はさまざまな方法でウォレットのユーザーインターフェースとやり取りすることができます。

攻撃者がウォレットユーザーに対してブラウザの脆弱性を悪用する方法

ブラウザ環境内に侵入した場合、一般的な攻撃手法には以下のようなものがあります。

• 偽のウォレットに関するプロンプト： MetaMaskなどのウォレット確認画面を模倣したオーバーレイが表示され、ユーザーに資産の「再接続」または「取得」を促します。クリックすると取引が承認され、資金が攻撃者のウォレットに送金されます。
• 支出承認： この脆弱性を悪用した攻撃は、資金を即座に盗むのではなく、トークンの承認署名を要求する。これにより、攻撃者のスマートコントラクトは将来いつでもトークンを転送する権限を得る。
• セッションハイジャック： 攻撃者が開いているExchangeタブからセッションクッキーをキャプチャした場合、セッションが終了するまでユーザーとして動作し、それ以上の操作なしに資産を移動させることができます。
• クリップボードとキーストロークの悪用： 一部の脆弱性攻撃は、クリップボードの内容を監視して、コピーされたウォレットアドレスやパスワードを傍受します。

これは理論上のシナリオではありません。2025年12月、トラストウォレット 確認された 同社のChrome拡張機能バージョン2.68に関連したセキュリティインシデントが発生しました。悪意のあるコードが保存されているウォレットを走査し、ニーモニックフレーズのリクエストをトリガーし、ユーザー自身のパスワードを使用してそれらを復号化し、攻撃者が制御するサーバーに送信しました。約7万ドルが流出し、その内訳はビットコイン約3万ドル、イーサリアム3万ドル以上です。 

有望なプロジェクトを発見...

有望なプロジェクト...

（広告）

記事は続きます…

ブロックチェーン調査員のZachXBTは、数百人の被害者がいることを確認し、盗まれた資金がマネーロンダリングのためにChangeNOW、FixedFloat、KuCoinを経由して送金されていたことを明らかにした。

Chromeがセキュリティ問題に直面したのは今回が初めてではない

2025 年 XNUMX 月、Google パッチを当てた Chromeのゼロデイ脆弱性（CVE-2025-10585）は、ChromeのJavaScriptエンジンであるV8における型混同のバグです。型混同の脆弱性とは、ブラウザがメモリ内のオブジェクトを誤って処理し、コード実行への道を開く可能性があることを意味します。Googleは当時、この脆弱性がパッチのリリース前に実際に悪用されていたことを確認しました。

そのパッチサイクルは、現在のものと同じパターンをたどった。メモリレベルの脆弱性、実際の攻撃事例の発生、そして安定版チャネルへの迅速な修正、という流れだ。

iOSの「DarkSword」エクスプロイトが第二の戦線を開拓

これとは別に、 バイナンス 発行 ほぼ同時期に、iOSユーザー向けにセキュリティ警告が発せられた。Appleは、iOSバージョン18.4から18.7に影響を与える「DarkSword」と呼ばれる重大な脆弱性を特定した。 

ブラウザベースの攻撃とは異なり、DarkSwordはシステムレベルの脆弱性であり、侵害されたウェブサイトにアクセスした際に、ユーザーの操作なしに自動的に起動する可能性があります。暗号通貨ウォレット情報などの機密データを抽出し、実行後に痕跡を消去するため、事後的に検出することが困難です。

仮想通貨ユーザーが今すぐすべきこと

ブラウザの脆弱性は目新しいものではありませんが、暗号資産ユーザーにとっての影響は、一般的なインターネットユーザーよりもはるかに深刻です。ブラウザセッションが侵害されると、たとえ基となる資産が安全にオンチェーン上に保管されていても、署名済みのトランザクション、盗まれた承認、ウォレットの資金流出といった事態が発生する可能性があります。

すぐに取るべき手順は簡単です。

• ブラウザの設定でGoogle Chromeを最新バージョンにアップデートしてください。
• MetaMask、Rabby、Phantomを含むすべてのウォレット拡張機能が最新バージョンで動作していることを確認してください。
• 予期しないウォレットのプロンプト、再接続要求、または資産請求通知には応答しないでください。
• iOSユーザーは、DarkSwordの脆弱性に対処するため、最新のシステムバージョンにアップデートする必要があります。

ギルメ氏の核心的な主張は、今週どの脆弱性が話題になっているかに関わらず、変わらない。ブラウザは金融機密にとって危険な環境である。ブラウザ拡張機能のみで多額の暗号資産を管理しているユーザーにとって、このリスク評価は改めて検討する価値がある。

資料

1. X に関するレジャー CTO Charles Guillemet: 3月21日投稿

2. XのTrust Wallet12月26日投稿

3. サイバープレスによるレポートGoogle Chromeのアップデートで、リモートコード実行の脆弱性を含む26件のセキュリティ上の欠陥が修正されました。

4. The Hacker Newsによるレポート: GoogleがChromeのゼロデイ脆弱性CVE-2025-10585を修正、V8エンジンの悪用により数百万人が脅かされる