Google Chromeの脆弱性とその対策について

皆さま、こんにちは、ManageEngine事業 営業部 プリセールス担当の植松です。

突然ですが、皆さまはどのブラウザーをご利用になっていますか?

Google Chrome / Mozilla Firefox / Microsoft Edge / Internet Explorer / Vivaldi / Opera / Safari など、世の中にはありとあらゆるブラウザーが存在していますが、ブラウザーは多くの人が必ず1日に1度は開くと言っても過言ではないほど、一般的に利用されているかと思います。

そのためブラウザーはサイバー攻撃の標的にされることが多くあります。
情報処理推進機構(IPA)からも、ブラウザー利用に関する注意喚起が多く公開されております。

例1:
2022年6月「Internet Explorer」サポートが終了へ～ サポートが継続する他のブラウザへの切り替えを ～
例2:
ブラウザの通知機能から不審サイトに誘導する手口に注意～ 安易に通知を許可しないで！ ～

直近では、2021年7月16日（米国現地時間）にGoogle Chromeに既に悪用が確認済みの複数の脆弱性が確認されました。特にChromeのJavaScript処理エンジンである「V8」の脆弱性（CVE-2021-30563）は特権昇格の可能性があります。
(参考:Google Chrome リリースノート)

企業ポリシーやツールなどでGoogle Chromeの利用を禁止しているケースであれば、特に問題ないかと思いますが、企業内で特に何も対策がされていない場合は、Google Chrome 91.0.4472.164へのアップデートをご検討ください。

Google Chromeのアップデート方法は、以下3パターンが考えられます。

1. 自動アップデート機能を活用する
基本的にはインストール後、Google Chromeは自動更新機能が有効になっております。ただし、アップデート適用後に、Chromeを再起動する必要があるため、コンピューターをシャットダウンせずに放置し、Chromeを常時開いたままにしている場合、アップデートが完了いたしません。

2. 手動でアップデートを実施する
こちらの方法で、手動でアップデートすることも可能です。

3. Google Chromeのアップデートに対応した製品/サービスを活用する

「企業ポリシーでGoogle Chromeの利用は制限はしているものの、実際は利用している社員がいるかもしれない」、「放置されている社内コンピューターにGoogle Chromeがインストールされている可能性がある」など、あらゆるケースを考慮することも重要だと考えます。

そのため何らかのツールを用いて、Google Chromeのインストール状況の把握や、アップデート適用を効率的に実施して、脆弱性対策を図る方法が最も有効的です。

弊社の提供するManageEngine Desktop Central / ManageEngine Patch Manager Plusでは、Google Chromeをはじめ、Adobe製品など、約350種類以上（21年7月時点）のソフトウェアのパッチに対応したツールになっており、パッチの自動配布など、パッチ管理を自動化する様々な機能がご利用いただけます。

またリモートシャットダウン機能を活用し、再起動やシャットダウンをリモートから強制的に実行することができるため、コンピューターを起動状態のまま放置され、アップデート完了待ちになっている対象に対して、対策を図ることも可能です。

上記ツールについて、もっと詳しく製品説明を受けたい場合は、オンライン相談に是非お申込みください。
またDesktop Central / Patch Manager Plusでは30日間無償で、技術サポート付きで、評価版を提供いたしておりますので、併せてお気軽にダウンロードください。