2026-03-03
ChromeのGeminiパネルが悪意のある拡張機能の特権昇格を可能に
Google Chromeにおいて、高度な脆弱性が発見され、悪意のある拡張機能がGemini Live AIパネルをハイジャックし、本来持つべきでない特権を取得できることが明らかになりました。この脆弱性はCVE-2026-0628として追跡され、Palo Alto NetworksのUnit 42によって発見されました。悪意のある拡張機能は、標準的な権限を持つ状態でGeminiパネルへのリクエストを操作し、信頼された部分に自らのJavaScriptを挿入することが可能でした。Googleはこの脆弱性を早期に修正し、現在のバージョンを使用しているユーザーは影響を受けませんが、AI機能の深い統合がブラウザの脅威モデルを変える可能性があることを示しています。
メトリクス
このニュースのスケール度合い
8.0
/10
インパクト
7.0
/10
予想外またはユニーク度
7.5
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.5
/10
このニュースで行動が起きる/起こすべき度合い
7.0
/10
主なポイント
- ✓ Google ChromeのGemini Live AIパネルにおいて、高度な脆弱性が発見されました。この脆弱性により、悪意のある拡張機能が本来の権限を超えてシステムリソースにアクセスできる可能性があります。
- ✓ Palo Alto Networksの研究者によると、悪意のある拡張機能は、Geminiパネルをハイジャックし、カメラやマイクを操作したり、ローカルファイルにアクセスしたりすることができるとされています。
社会的影響
- ! この脆弱性は、AI機能の統合がもたらす新たなリスクを浮き彫りにし、企業や個人がAIを利用する際のセキュリティ意識を高める必要性を示しています。
- ! 悪意のある拡張機能による情報漏洩やプライバシー侵害のリスクが高まることで、ユーザーの信頼が損なわれる可能性があります。
編集長の意見
この脆弱性は、AI機能がブラウザに統合されることによって生じる新たなセキュリティリスクを示しています。特に、Gemini Liveのような高度な機能が悪用されることで、悪意のある拡張機能が本来の権限を超えてシステムリソースにアクセスできることは、ユーザーにとって深刻な脅威です。AI技術の進化に伴い、ブラウザの設計やセキュリティモデルも見直す必要があります。企業は、AI機能を利用する際に、リスクを十分に理解し、適切な対策を講じることが求められます。また、ユーザー自身も、拡張機能のインストール時には慎重になるべきです。今後、AI機能を持つソフトウェアのセキュリティ対策がますます重要になるでしょう。特に、AIがシステムに与える影響を考慮し、開発者はセキュリティを最優先に考える必要があります。さらに、ユーザー教育も重要であり、悪意のある拡張機能のリスクを理解し、適切な行動を取ることが求められます。
背景情報
- i CVE-2026-0628は、Google ChromeのGemini Live AIパネルに関連する脆弱性であり、悪意のある拡張機能が標準的な権限でシステムリソースにアクセスできるようになる問題です。この脆弱性は、Chromeが拡張機能のネットワークルールを処理する方法に起因しています。
- i Gemini Liveは、Chromeに組み込まれたインタラクティブなAIパネルであり、スクリーンショットの取得やローカルファイルの読み取り、カメラやマイクの操作が可能です。この機能が悪用されることで、悪意のある拡張機能が本来の権限を超えたアクセスを得る危険性があります。