ChromeやSafariに影響する重大な脆弱性「0.0.0.0 Day」が見つかる：セキュリティニュースアラート

Oligo SecurityはWebブラウザの重大な脆弱性「0.0.0.0 Day」を発見した。この脆弱性はWebブラウザ間での標準化の不一致から発生し、IPアドレス「0.0.0.0」を介して外部からのアクセスを可能にする。

[後藤大地，有限会社オングス]

　Oligo Securityは2024年8月7日（現地時間）、主要なWebブラウザに影響を及ぼす可能性がある重大な脆弱（ぜいじゃく）性「0.0.0.0 Day」を発見したと伝えた。

　0.0.0.0 Dayを悪用すると、悪意のあるWebサイトがセキュリティを回避して組織のローカルネットワーク内で実行されているサービスと通信できるようになり、外部からの不正アクセスやリモートコード実行につながる危険性がある。

Webブラウザの不統一が生んだリスク「0.0.0.0 Day」　ChromeやSafariで影響

　この脆弱性は、異なるWebブラウザ間でセキュリティメカニズムの実装に一貫性がないことやWebブラウザ業界での標準化が不十分であることに問題があるとされている。通常無害と考えられているIPアドレス「0.0.0.0」が、攻撃を実行するための強力な手段となる可能性があることが明らかにされている。

　通常、ローカルホスト（localhostや127.0.0.1）で動作するサービスは外部からアクセスできないように設定されている。しかし0.0.0.0 Dayを悪用することで、外部の悪意あるWebサイトが0.0.0.0アドレスを使ってローカルホストのサービスに通信を試みることが可能になる。攻撃者はローカルで動作しているサービスに不正にアクセスして情報を窃取したり、操作を乗っ取ったりできるという。

　Oligo Securityによると「Chromium」「Firefox」「Safari」といった主要Webブラウザがこの脆弱性の影響を受けるとされ、特に「macOS」や「Linux」でのローカルソフトウェアとの通信が狙われる可能性があることが指摘されている。なお「Windows」については現時点では影響を受けないとされている。

　現在、各Webブラウザ開発チームはこの脆弱性に対応するために動いており、「Google Chrome」（以下、Chrome）やSafariは対策を進めている。Chromeについては「Chromium 128」から段階的に0.0.0.0へのアクセスをブロックする予定で、最終的には全てのChromeユーザーがこの保護を受けることになる。

　Safariについてはすでに変更を加えており、0.0.0.0へのアクセスをブロックする措置を取っている。Mozilla Firefoxは技術的にはこの脆弱性への影響が少ないとされている。ただしOligo Securityの報告を受け、0.0.0.0アドレスをブロックするよう変更している。

　0.0.0.0 Dayの発見により、Webブラウザの標準が統一されていないという根本的な課題が浮き彫りにされている。ユーザーは使用しているWebブラウザを最新のバージョンに更新し、リスクを最小限に抑えることが求められる。