Googleは5件目のChromeゼロデイ脆弱性に対する緊急セキュリティアップデートを公開した。この脆弱性はCVE-2026-11645として追跡され、ChromeのV8 JavaScriptエンジンに存在する。同エンジンはJavaScriptとWebAssemblyの処理を担う中核コンポーネントだ。Googleのセキュリティ勧告によると、この欠陥を狙った攻撃コードは既に実環境で観測されている。今回のインシデントは、ブラウザベンダーが直面する継続的な課題を浮き彫りにしている。脅威アクターは、サイバー犯罪者、スパイ活動グループ、商用スパイウェア事業者にとって最も魅力的な攻撃対象の一つであるウェブブラウザをますます標的にしている。
全世界のユーザーに緊急アップデートが展開
Googleは、匿名のセキュリティ研究者によって脆弱性が発見された直後、すべての主要デスクトッププラットフォーム(Windows、macOS、Linux)向けにパッチ適用済みのChromeバージョンの展開を開始した。更新されたビルドには、WindowsとLinux向けのChrome 149.0.7827.102、macOS向けのChrome 149.0.7827.103が含まれる。同社は標準的な更新チャネルを通じた完全な展開には数日から数週間かかる可能性があると指摘している。しかし、セキュリティ研究者は、Chromeの手動更新メカニズムを通じて、更新がすぐに利用可能になったことを確認した。ユーザーはブラウザの設定メニューから「Google Chromeについて」セクションを選択することで、新しいリリースを自動的に確認できるプロセスを起動できる。
複数OSにまたがるパッチ配布
このパッチは、特に危険な性質を持つV8エンジン内の範囲外読み取りおよび書き込みの欠陥に対処する。この種の弱点は、ソフトウェアが割り当てられたバッファを超えてメモリ位置に不適切にアクセスする場合に発生する。その結果、メモリ破損、情報漏洩、アプリケーションのクラッシュ、そして潜在的な任意のコード実行が引き起こされる可能性がある。Googleは、攻撃者がCVE-2026-11645を悪用するために、悪意のあるサイトや侵害されたサイトを介して特別に細工されたHTMLコンテンツを配信する可能性があると警告した。悪意のあるページにアクセスするだけで、Chromeのサンドボックス環境内でも欠陥が発動する可能性がある。サンドボックスは、ウェブコンテンツをオペレーティングシステムから隔離するために設計された重要なセキュリティ層である。
V8エンジンの脆弱性がメモリ悪用を可能に
ブラウザエンジンにおけるメモリ破損の脆弱性は、しばしばより大規模な侵害の第一段階として機能するため、依然としてソフトウェア欠陥の中でも最も価値のあるカテゴリの一つである。入手可能な技術情報によると、CVE-2026-11645の悪用に成功した攻撃者は次の行為を実行できる可能性がある:
- 割り当てられた境界外のメモリ内容を読み取る。
- ヒープメモリ構造を破損させる。
- ブラウザプロセス内に保存された機密情報を漏洩させる。
- ブラウザのクラッシュや不安定性を引き起こす。
- メモリ保護メカニズムを回避する。
- 追加の脆弱性と連鎖させて、さらなるコード実行攻撃を容易にする。
この種の範囲外メモリアクセス欠陥は、多くの場合、攻撃者がASLR(アドレス空間レイアウトのランダム化)などの防御策を回避できるようにする。ASLRは、悪用を著しく困難にすることを目的としたセキュリティメカニズムである。メモリレイアウト情報を露呈させたり、重要な構造を破損させたりすることで、攻撃者は後続の悪用段階の信頼性を高めることができる。追加の弱点が利用可能であれば、完全なシステム侵害につながる可能性もある。
Googleは模倣攻撃を防ぐため詳細を非公開に
積極的に悪用されている脆弱性に対処する際の標準的な慣行として、Googleは攻撃に関する詳細な技術情報を公開していない。同社は、バグの詳細、概念実証コード、および関連文書へのアクセスは、ほとんどのChromeユーザーがセキュリティアップデートをインストールするまで制限されると述べている。この方針は、脆弱なシステムがパッチ適用される前に、追加の脅威アクターが模倣エクスプロイトを開発するのを防ぐことを目的としている。Googleはまた、類似したコードに依存するサードパーティソフトウェアプロジェクトが対応する修正をまだ実装していない場合、開示制限が継続される可能性があると示唆した。同社は、誰が脆弱性を発見したのか、誰が悪用しているのか、あるいは攻撃が金銭目的のサイバー犯罪者、国家支援型アクター、または商用監視ベンダーに関連しているのかについて明らかにしていない。
ブラウザのゼロデイ:持続する脅威の状況
最新のインシデントは、サイバーセキュリティ全体の傾向を浮き彫りにしている。ウェブブラウザは、企業環境と消費者環境の両方で最も標的にされるソフトウェアの一つになっている。ブラウザはオンラインアプリケーション、クラウドサービス、電子メールプラットフォーム、銀行システム、企業ネットワークへのゲートウェイとして機能するため、ブラウザの悪用に成功した攻撃者は、はるかに大規模な環境への足掛かりを得ることができる。脅威インテリジェンスチームは、高度持続的脅威(APT)グループがブラウザの脆弱性を利用してジャーナリスト、政府関係者、政治的反体制派、企業幹部を侵害する事例を繰り返し観測している。近年では、ゼロクリックおよびワンクリックのブラウザエクスプロイトは商用スパイウェア事業の基盤となっている。これらのベンダーは、一見無害なウェブコンテンツを介してデバイスを侵害できる高度な攻撃チェーンを開発している。
2026年に修正された5件目のChromeゼロデイ
CVE-2026-11645は、今年Googleが対応した5件目の積極的に悪用されるChrome脆弱性である。同社は2026年上半期に、すでに一連の重大なセキュリティ欠陥に対応している:
- CVE-2026-2441:2月に修正。CSSFontFeaturesValuesMapに影響を与えるイテレータ無効化の問題。同コンポーネントはChromeのレンダリングアーキテクチャ内でCSSフォント機能値を処理する。
- CVE-2026-3909:3月に公開。Skiaグラフィックスライブラリに影響を与える範囲外書き込みの脆弱性。SkiaはChromiumエコシステム全体で使用される広く普及したオープンソースグラフィックスエンジンである。
- CVE-2026-3910:同じく3月に修正。V8 JavaScriptおよびWebAssemblyエンジン内の実装上の弱点。特定の条件下でブラウザの動作を操作することを可能にする。
- CVE-2026-5281:4月に対応。Dawnに影響を与える解放後使用(use-after-free)の脆弱性。Dawnは、最新のブラウザで高度なグラフィックス処理とハードウェアアクセラレーションを可能にするWebGPU標準のGoogleによる実装である。
メモリ安全性の脆弱性——解放後使用、範囲外読み取り、範囲外書き込みを含む——は、ブラウザベンダーが防御策の強化に継続的に取り組んでいるにもかかわらず、ブラウザ悪用活動を支配し続けている。このような欠陥が繰り返し出現することで、ブラウザ開発におけるRustのようなメモリ安全なプログラミング言語のより広範な採用を求める声が新たに高まっている。Google、Microsoft、その他のテクノロジー企業は、重要なソフトウェア脆弱性のかなりの部分がメモリ管理エラーに起因するという研究結果を受けて、メモリ安全性への取り組みをますます重視している。Chromeのアーキテクチャはすでにサイト分離、サンドボックス化、エクスプロイト検出システム、強化されたプロセス分離など多くの緩和策を組み込んでいるが、セキュリティ専門家は、メモリ非安全コードの削減がブラウザ悪用に対する最も効果的な長期的防御策の一つであり続けると主張している。