Chromiumにゼロデイ脆弱性 悪用コードが流通済みのため急ぎ対処を：セキュリティニュースアラート

Chromiumに見つかったゼロデイ脆弱性「CVE-2026-2441」の悪用が確認されたとして、CISAは「既知の悪用された脆弱性カタログ」にこれを追加した。CSSエンジンの不具合により任意コード実行の恐れがあるため、緊急でアップデートが必要だ。

[ITmedia エンタープライズ編集部]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2026年2月17日（現地時間、以下同）、Googleの「Chromium」に存在するゼロデイ脆弱（ぜいじゃく）性「CVE-2026-2441」を「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に追加したと発表した。実環境での悪用が確認されたことを踏まえ、各組織に対し優先的な対処を強く促している。

Chromeにも大きな影響　CVE-2026-2441の悪用コード流通を把握

　CVE-2026-2441はChromiumのCSSエンジンにおける解放後使用の不具合とされる。細工されたHTMLページを読み込むことでヒープ破壊が発生し、サンドボックスで任意のコードが実行される可能性がある。被害者が改ざん済み、もしくは悪意あるWebサイトにアクセスした場合に攻撃される恐れがある。Chromiumを基盤とする複数のWebブラウザや「Microsoft Edge」「Brave」「Opera」なども影響を受ける可能性がある。

　Googleは2026年2月13日、安定版チャネルの更新を公開した。「Windows」および「macOS」に145.0.7632.75/76、「Linux」に144.0.7559.75を順次展開している。CVE-2026-2441は「Google Chrome 145.0.7632.75」未満のバージョンに影響し、Googleは該当欠陥の悪用コードが出回っている事実を把握していると明らかにしている。

　CISAは、ベンダーの指示に従った速やかな更新を最優先事項とするよう勧告した。即時のパッチ適用が難しい場合は、影響機能の無効化やChromium設定を見直し、暫定的なリスク低減策を講じるよう求めている。併せて、Webブラウザのセッションから不審なプロセスが生成されていないかどうかを監視するなど、エンドポイントの監視強化も推奨した。

　現時点で大規模なランサムウェア攻撃との直接的な関連は確認されていない。しかしKEVへの登録は、脅威インテリジェンス上、実際の攻撃活動が確認されたことを意味する。ゼロデイ攻撃は公開直後の防御空白を突く性質を持ち、広く使われるソフトウェアほど標的となりやすい。不特定多数の外部コンテンツに接するWebブラウザは常に広大な攻撃面にさらされており、迅速な防御措置が不可欠となる。脆弱性管理の優先順位付けにKEVカタログを活用し、公開情報とベンダー更新を継続的に確認する体制整備が求められる。