Chromeの重大脆弱性CVE-2025-12036は、ブラウザが認証・業務SaaS・拡張機能・ダウンロードを集約する「業務基盤」である点から、影響が端末内に留まりにくい事案です。ゼロデイ級に悪用され得る脆弱性では、ユーザーがページを開くだけで侵害が成立する可能性もあります。OSやEDRを強化していても、ブラウザ起点のセッション奪取や不正操作が残存リスクになりやすい点を前提に扱う必要があります。
企業で問題になるのは「感染」そのものより、認証情報やセッションの窃取を通じたクラウド侵害への波及です。Cookieやトークン、保存パスワードが狙われるとSSOやメール、ストレージに不正ログインされ、静かにデータが持ち出されます。侵害後はメール転送ルール改ざんや横展開(VPN/RDP経由)に進むこともあり、復旧コストと信用毀損が増大します。
最も効果が高いのはChromeおよびChromium系ブラウザを含む迅速なパッチ適用です。情シスは「適用済み」ではなく「再起動まで完了し修正が反映された」状態を基準に管理します。端末群に対し48〜72時間など短い期限で更新を強制し、例外端末は理由と期限を明確化して追跡します。併せて拡張機能は許可リスト化し、権限の強いものを抑制します。
互換性検証で即時更新できない場合も、放置せず時間稼ぎの統制を入れます。高権限アカウントでのWeb閲覧禁止、危険ドメインやダウンロードの制限、分離ブラウジング/VDIの活用を検討します。同時に不審なログイン、セッション異常、プロキシログ急増などの兆候監視を強化し、端末隔離やID無効化の手順を即応できる状態にします。暫定策は恒久化させず、必ずパッチ適用で終結させる設計が重要です。
