Google Chromeに重大な脆弱性 CISAが既知の悪用を確認し警告：セキュリティニュースアラート

Googleは、21件の脆弱性を修正したChromeの最新版を公開した。うち1件はすでに悪用が確認されており、米当局も注意を喚起している。Edgeなどにも影響する恐れがあり、迅速な更新が求められる。

[ITmedia エンタープライズ編集部，ITmedia]

　「Google Chrome」の安定版（Stable版）に、コード実行の恐れがある21件の脆弱（ぜいじゃく）性が見つかった。Googleは3月31日（現地時間）に修正版をリリースしたが、翌4月1日にはCISAがこれらの一部を「悪用済み」と認定し、連邦機関に対し4月15日までの対策完了を義務付けた。一般利用者も、各OS向けに順次配信されている最新バージョンへの速やかな更新が必要だ。

Chrome最新版公開　任意コード実行の恐れある不具合を修正

　対象バージョンは「Windows」および「macOS」用に146.0.7680.177/178、「Linux」用に146.0.7680.177で、数日から数週間で段階的に配信される。

　今回の更新では合計21件のセキュリティ問題が修正された。内訳は高リスクの不具合が多数を占め、CSSやGPU、ANGLE、WebCodecs、V8などWebブラウザの広範なコンポーネントに影響が及んでいる。多くはメモリ管理の欠陥であり、特に「use-after-free」と呼ばれる不具合が目立つ。これは解放済みメモリ領域を誤って参照することで不正な動作を引き起こし、攻撃者によるコード実行につながる可能性がある。

　中でも「CVE-2026-5281」が注目される。この問題はグラフィックス関連コンポーネントDawnに存在し、レンダラープロセスが侵害された状況下で細工されたHTMLページを読み込むことで任意のコードが実行される恐れがある。Googleはこの脆弱性について、既に実際の攻撃で利用されている事例を把握していると明らかにした。

　米国のサイバーセキュリティ機関であるCISAは2026年4月1日、「CVE-2026-5281」を既知の悪用された脆弱性（KEV）カタログに追加した。KEVカタログは、現実の攻撃で利用されている重大な脆弱性を集約したリストであり、連邦政府機関に対し優先的な対応を義務付ける指針「BOD 22-01」に基づいて運用されている。

　この種の欠陥は攻撃者に頻繁に利用されており、連邦機関の情報システムに重大なリスクをもたらす。今回の追加により、米国の連邦行政機関は2026年4月15日までに対策を完了する必要がある。対象は政府機関に限られるが、同機関は民間企業や一般利用者にも迅速な対応を強く促している。影響範囲はChromiumベースのWebブラウザである「Microsoft Edge」や「Opera」などにも同様の問題が波及する可能性があるため、各ベンダーによる更新の適用が重要となる。

　Googleは、詳細情報の公開について利用者の大半が修正を適用するまで制限を維持する方針を示している。本件はWebブラウザが攻撃対象である現状を示しており、特にレンダリングやグラフィックス処理といった複雑な機能領域は攻撃対象となりやすく、継続的な更新の適用が不可欠といえる。利用者および組織は、ベンダーが提供する最新バージョンへの移行を速やかに実施することが望まれる。