セキュリティ · 1 min read · Dec 21, 2025

ハッカーがFirefox、Chrome、Safariの18年前のセキュリティ欠陥を悪用

イスラエルのサイバーセキュリティ企業Oligoの研究者たちは、GoogleのChromium、Mozilla Firefox、AppleのSafariを含むすべての主要なウェブブラウザに影響を与える18年前の重大な脆弱性を発見しました。この脆弱性により、攻撃者はローカルネットワークに侵入することができます。

「0.0.0.0 Day」と名付けられたこの脆弱性は、すべての主要なブラウザのブラウザセキュリティを回避し、組織のローカルネットワーク上で実行されているサービスと相互作用します。

この相互作用により、脅威アクターは機密情報に不正アクセスできる可能性があり、場合によってはローカルサービス上でリモートコードを実行することさえ可能です。

言い換えれば、攻撃者はファイル、メッセージ、資格情報にアクセスし、データを操作または盗むことができ、操作を中断したり、さらなる悪意のあるソフトウェアをインストールしたりすることができます。すべてネットワークの外部から行われます。

ただし、この重大な欠陥はLinuxおよびmacOSを実行しているコンピュータにのみ影響を与え、Windowsには影響を与えないことに注意が必要です。MicrosoftはオペレーティングシステムレベルでIPアドレスをブロックします。

OligoのAIセキュリティ研究者であるAvi Lumelskyによると、公共のウェブサイト(.comで終わるドメインなど)は、ローカルネットワーク(localhost)上で実行されているサービスと通信でき、localhost/127.0.0.1の代わりに0.0.0.0のアドレスを使用することで、訪問者のホスト上で任意のコードを実行できる可能性があります。

「この問題は、異なるブラウザ間でのセキュリティメカニズムの不一致な実装と、ブラウザ業界における標準化の欠如から生じています。その結果、一見無害なIPアドレスである0.0.0.0が、開発、オペレーティングシステム、さらには内部ネットワークで使用されるローカルサービスを悪用するための攻撃者にとって強力なツールとなる可能性があります」とLumelskyはセキュリティブログの投稿で述べています。

Oligoはまた、Cross-Origin Resource Sharing(CORS)やPrivate Network Access(PNA)などの既存の保護メカニズムを回避し、この危険な活動を防ぐことができないと説明しています。

Oligoのセキュリティ研究者たちは、ShadowRayやSeleniumGreedなどのキャンペーン攻撃を含む複数の脅威アクターがこの欠陥を悪用しているのを観察しています。

ShadowRayでは、キャンペーンが開発者のマシン上でローカルに実行されているAIワークロード(Rayクラスター)を積極的に標的にしていました。一方、Seleniumでは、脅威アクターがSelenium Gridの公共サーバーを利用して組織への初期アクセスを得て、既知のリモートコード実行(RCE)脆弱性を使用していました。

Oligoの開示に応じて、ウェブブラウザの開発者たちは、Google Chrome、Mozilla Firefox、Apple Safariで0.0.0.0へのアクセスをブロックするための対策を講じ始めています。

Google Chrome: 世界で最も人気のあるウェブブラウザは、Chromium 128から段階的に展開を開始し、Chrome 133で完全に0.0.0.0へのアクセスをブロックすることを決定しました。その時点で、IPアドレスはすべてのChromeおよびChromiumユーザーに対して完全にブロックされます。

Mozilla Firefox: Firefoxユーザーはパッチがもう少し遅れる可能性があります。Mozillaは、0.0.0.0をブロックすると、そのアドレスを使用するサーバーに重大な互換性の問題を引き起こす可能性があると述べています。したがって、まだ0.0.0.0へのアクセスに制限を課していませんが、将来的にそうする計画があります。

Apple Safari: Appleは、macOS Sequoiaのパブリックベータ版で、ウェブサイトから0.0.0.0へのクエリを送信するすべての試みをブロックする計画です。このアップデートはSafari 18と共に出荷され、macOS SonomaおよびmacOS Venturaに展開される予定です。

ブラウザの修正が到着するまで、Oligoはアプリ開発者に以下の対策を講じてローカルアプリケーションを保護することを提案しています:

  • PNAヘッダーを実装する。

  • DNSリバインディング攻撃からlocalhostまたは127.0.0.1を保護するために、リクエストのHOSTヘッダーを検証する。

  • localhostネットワークを信頼しない — ローカルでも最小限の認証レイヤーを追加する。

  • 可能な場合はHTTPSを使用する。

  • アプリケーションにCSRFトークンを実装する、ローカルのものでも。

  • 開発者は、ブラウザがゲートウェイとして機能し、多くのブラウザで内部IPアドレス空間へのルーティング機能を持っていることを忘れないでください。

Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。