「Google Chrome」に致命的な脆弱性　修正版が展開中／経産省が脆弱性関連情報の取り扱いに関して声明を発表：週末の「気になるニュース」一気読み！（1/3 ページ）

　うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、9月7日週を中心に公開された主なニュースを一気にチェックしましょう！

「Google Chrome」に致命的な脆弱性　修正版が公開される

　Googleは9月9日、デスクトップ（Windows／macOS／Linux）向け「Google Chrome ブラウザ」の安定チャネルをアップデートした。バージョンはWindows向けが「140.0.7339.127/.128」、macOS向けが「140.0.7339.132/.133」、Linux向けは「140.0.7339.127」となる。

　このアップデートでは、以下の2件の脆弱（ぜいじゃく）性が修正されている。

• CVE-2025-10200：Use after free in Serviceworker（Critical）
• CVE-2025-10201：Inappropriate implementation in Mojo（High）

　いずれも悪用の報告はないようだが、CVE-2025-10200は深刻度の評価が最も高い「Critical」ということもあり、できるだけ早いアップデートを心掛けたい。

　Chromeが既にインストールされている場合、順次自動で更新されるが、手動で更新したい場合はChromeのメニューから「ヘルプ」→「Google Chromeについて」を選択すればよい。

経済産業省が脆弱性関連情報の取り扱いに関して声明を発表　ガイドラインに即した情報の取り扱いを求める

　経済産業省は9月9日、脆弱性関連情報の取扱いに関する声明を発表した。この中で、IPAやJPCERT／CC、JEITAらが策定している「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求めた。

　このガイドラインでは、発見された脆弱性関連情報が無関係な第三者に漏れないよう、関係者（発見者、IPA、JPCERT/CC、製品開発者やWebサイト運営者）の間で適切に管理され、製品開発者やWebサイト運営者による検証／対策実施が済んだ上で公表されることで、不特定多数の人々に被害を及ぼす脆弱性が悪用される可能性を低減できるよう、関係者に推奨する行為がとりまとめられている。

　また、脆弱性を発見した場合は、受付機関であるIPAへの届け出を行い、正当な理由がない限りは脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談してほしいとしている。

　加えて、報道機関その他産業界には、同ガイドラインの趣旨を理解し、むやみに第三者に開示するのを控えるよう求めた。

　脆弱性情報の取扱いに関する課題や改善事項等については、昨今の国内における報道等での脆弱性関連情報の取扱いも踏まえて、今後もIPAが主催する「情報システム等の脆弱性情報の取扱いに関する研究会」で議論を進めていくとのこと。

　なお、2025年5月16日に成立したサイバー対処能力強化法に伴い、脆弱性関連情報取扱いの仕組みについても必要な見直しの検討を行っていくとしている。