セキュリティ18分で読める

Chromeゼロデイ CVE-2026-5281が悪用中——35億ユーザーに今すぐ更新を

セキュリティChromeサイバー攻撃
加木谷 直俊ソース記事を見る

2026年に入ってわずか4か月で、Google Chromeに4つ目のゼロデイ脆弱性が発見された——CVE-2026-5281は、WebGPUの実装であるDawnに存在するuse-after-free(解放後使用)バグで、CVSS 8.8(高深刻度)と評価されています。すでに実際の攻撃での悪用が確認されており、全世界35億人のChromeユーザーが影響を受ける可能性があります。

Googleは2026年3月31日にChrome安定版のデスクトップビルドで修正パッチを公開。翌4月1日にはCISA(米国サイバーセキュリティ・社会基盤安全保障庁)がKEV(既知の悪用された脆弱性)カタログに追加し、連邦政府機関に対して4月15日までの修正を義務付けました。一般ユーザーも今すぐChromeのバージョンを確認し、アップデートを適用すべきです。

CVE-2026-5281とは何か

CVE-2026-5281は、ChromeのWebGPU実装であるDawnに存在するuse-after-free脆弱性です。WebGPUは、ブラウザからGPUに直接アクセスしてグラフィックス処理や汎用計算(GPGPU)を実行するための次世代Web APIで、従来のWebGLよりも高いパフォーマンスと柔軟性を提供します。

use-after-freeとは

use-after-free(UAF)は、メモリ管理のバグの一種です。プログラムがメモリを解放(free)した後に、そのメモリ領域を再び参照(use)してしまうことで発生します。解放されたメモリ領域には別のデータが書き込まれている可能性があり、攻撃者はこの特性を悪用して任意のコードを実行できます。

具体的には以下のような流れで攻撃が成立します。

  1. メモリ確保: DawnがWebGPU処理のためにメモリを確保する
  2. メモリ解放: 特定の操作でそのメモリが解放される
  3. 攻撃者によるメモリ再利用: 解放されたメモリ領域に攻撃者が制御するデータを配置する
  4. dangling pointer経由の参照: Dawnが解放済みのポインタを通じてメモリにアクセスし、攻撃者のデータをコードとして実行してしまう

この図は、CVE-2026-5281の攻撃フロー全体像と、use-after-freeの仕組み、そして対策を示しています。

CVE-2026-5281 攻撃フローと対策 — 細工されたHTMLページからWebGPU APIを悪用し、use-after-freeで任意コード実行に至る流れ

攻撃の具体的なシナリオ

CVE-2026-5281の攻撃シナリオは以下のとおりです。

  1. 攻撃者がWebGPU APIを悪用する細工されたHTMLページを用意する: WebGPU APIの特定のメソッド呼び出し順序でDawnのuse-after-freeを引き起こすJavaScriptコードが埋め込まれたページです
  2. 被害者がそのページにアクセスする: フィッシングメール、SNSの投稿、広告ネットワーク経由など、さまざまな方法で被害者を誘導します
  3. レンダラープロセスが侵害される: ブラウザのレンダリングエンジンが細工されたWebGPUコマンドを処理する際にuse-after-freeが発生し、レンダラープロセス内で任意コードが実行されます
  4. サンドボックス突破の可能性: レンダラープロセスの侵害は、追加のサンドボックスエスケープ脆弱性と組み合わせることで、OSレベルの完全な制御につながるリスクがあります

CVSS 8.8という高いスコアは、攻撃の容易さ(ユーザーがWebページを開くだけで発動)と影響の大きさ(任意コード実行)を反映しています。

2026年のChromeゼロデイ一覧

2026年はまだ4月にもかかわらず、すでに4件のゼロデイが発見されています。以下の比較表で、それぞれの特徴を整理します。

この図は、2026年に発見された4つのChromeゼロデイ脆弱性のタイムラインを示しています。

2026年 Chromeゼロデイ脆弱性タイムライン — 2月から4月にかけて4つのゼロデイが発見された経緯を時系列で表示

CVE番号発見月影響コンポーネント脆弱性の種類CVSS悪用状況
CVE-2026-24412月V8 (JavaScriptエンジン)型混同実際の攻撃で悪用確認
CVE-2026-39093月Mojo (IPC)型混同実際の攻撃で悪用確認
CVE-2026-39103月Blink (レンダラー)ヒープバッファオーバーフロー実際の攻撃で悪用確認
CVE-2026-52814月Dawn (WebGPU)use-after-free8.8実際の攻撃で悪用確認

4件すべてが「実際の攻撃で悪用確認」というステータスであり、発見前から攻撃者に利用されていた点が深刻です。また、V8、Mojo、Blink、Dawnとそれぞれ異なるコンポーネントが標的になっており、Chrome全体のアタックサーフェスの広さが浮き彫りになっています。

ペースの加速

2025年通年でChromeのゼロデイは合計8件でした。2026年は4か月で4件というペースであり、このまま推移すると年間12件に達する可能性があります。ブラウザが事実上のOSとして機能し、WebGPUのような高機能APIが追加され続ける限り、攻撃対象領域は拡大し続けます。

WebGPU / Dawnの技術的背景

WebGPUとは

WebGPUは、WebGLの後継として策定が進められてきた次世代のグラフィックスAPIです。2023年にChrome 113で初めてデフォルト有効化され、以下の特徴を持ちます。

  • 低レベルGPUアクセス: Vulkan、Metal、Direct3D 12に匹敵するレベルでGPUリソースを制御できる
  • コンピュートシェーダー: グラフィックスだけでなく、汎用計算(機械学習推論など)をGPU上で実行可能
  • 高パフォーマンス: WebGLと比較して描画コールのオーバーヘッドが大幅に削減されている

Dawnとは

DawnはGoogleが開発するWebGPUのC++実装で、Chromiumプロジェクトの一部です。ブラウザのJavaScriptエンジンからのWebGPU API呼び出しを受け取り、OSのネイティブグラフィックスAPI(Vulkan、Metal、D3D12)に変換する役割を担います。

Dawnはネイティブコード(C++)で実装されており、メモリ管理はプログラマの責任です。今回のCVE-2026-5281は、Dawnのリソース管理ロジックにおいて、GPUバッファやテクスチャオブジェクトの参照カウントが正しく管理されていないケースがあり、解放済みオブジェクトへのポインタが残存する(dangling pointer)問題でした。

なぜWebGPUが狙われるのか

WebGPUがゼロデイ攻撃の標的になった背景には、いくつかの要因があります。

  1. 複雑なネイティブコード: GPUリソースのライフサイクル管理は非常に複雑で、参照カウントの不整合やレースコンディションが発生しやすい
  2. 比較的新しいAPI: WebGLと比べてコードの成熟度が低く、セキュリティ監査の蓄積も少ない
  3. 高い権限: GPUメモリに直接アクセスするため、脆弱性を悪用した場合の影響が大きい
  4. デフォルト有効: Chrome 113以降すべてのデスクトップ版でデフォルト有効であり、攻撃対象が広い

CISAの対応とFCEB機関への影響

米国CISAは、CVE-2026-5281を2026年4月1日付でKEV(Known Exploited Vulnerabilities)カタログに追加しました。これにより、BOD 22-01(拘束力のある運用指令)に基づき、すべてのFCEB(連邦民間行政府)機関は2026年4月15日までに修正を適用する義務が生じています。

KEVカタログへの追加は、CISAが「信頼できる証拠に基づき、実際の攻撃で悪用されていることが確認された」と判断したことを意味します。民間企業には法的拘束力はありませんが、CISAは全組織に対して迅速なパッチ適用を強く推奨しています。

修正バージョンと確認方法

Googleは以下のバージョンで修正パッチをリリースしています。

プラットフォーム修正バージョン
WindowsChrome 146.0.7680.177 または 146.0.7680.178
macOSChrome 146.0.7680.177 または 146.0.7680.178
LinuxChrome 146.0.7680.177

Chromeバージョンの確認手順

  1. Chromeのアドレスバーに chrome://settings/help と入力する
  2. 現在のバージョン番号を確認する
  3. 上記の修正バージョン以上であれば対策済み
  4. 更新がある場合は自動的にダウンロードが始まるので、ブラウザを再起動して適用を完了する

重要なのは、アップデートのダウンロードだけでは不十分という点です。ブラウザを再起動しないと修正パッチは適用されません。タブを何日も開きっぱなしにしているユーザーは特に注意が必要です。

Chromiumベースブラウザへの影響

CVE-2026-5281はChromiumのDawnコンポーネントに存在する脆弱性であるため、Chromiumをベースとするすべてのブラウザが潜在的に影響を受けます。

ブラウザChromiumベース影響対応状況
Google Chromeはいあり146.0.7680.177で修正済み
Microsoft Edgeはいあり各ブラウザのアップデートを確認
Braveはいあり各ブラウザのアップデートを確認
Operaはいあり各ブラウザのアップデートを確認
Vivaldiはいあり各ブラウザのアップデートを確認
Firefoxいいえ(Gecko)なしWebGPU実装が異なるため影響なし
Safariいいえ(WebKit)なしWebGPU実装が異なるため影響なし

ChromiumベースのブラウザはGoogle Chromeの修正が取り込まれるまでタイムラグがある場合があります。各ブラウザの公式サイトやリリースノートで最新の対応状況を確認してください。

企業・組織向けの追加対策

個人ユーザーはブラウザの更新で対応完了ですが、企業や組織では追加の対策が推奨されます。

パッチ管理の強化

  • Chrome EnterpriseのADMXポリシーまたはクラウド管理コンソールで自動更新を強制する
  • パッチ適用後のバージョン確認を資産管理ツールで自動化する
  • CISA KEVカタログのRSSフィードを監視し、新規追加された脆弱性を即座にトリアージする

ネットワークレベルの防御

  • WebフィルタリングやProxy経由でのアクセスにおいて、既知の悪用ドメインをブロックする
  • EDR(Endpoint Detection and Response)でレンダラープロセスからの異常な挙動(シェルコード実行、権限昇格など)を検知するルールを確認する

WebGPUの一時的無効化(高リスク環境向け)

パッチ適用が即座にできない環境では、一時的な緩和策としてWebGPUを無効化できます。

  • Chrome起動時に --disable-features=WebGPU フラグを指定する
  • またはChrome Enterprise ポリシーで WebGPUAllowedfalse に設定する

ただし、これはあくまで緩和策であり、根本的な対策はパッチの適用です。

日本への影響と対策

日本のChromeシェア

日本におけるChromeのデスクトップブラウザシェアは約50-60%と推定されており、国内だけでも数千万人規模のユーザーが潜在的な影響を受けます。企業のWebブラウザとしてもChromeは広く採用されており、特にGoogle Workspaceを利用している組織ではChromeがデフォルトブラウザとなっているケースが多いです。

日本の組織が取るべき対応

日本では米国のBOD 22-01のような法的拘束力のある指令はありませんが、JPCERT/CCやIPA(情報処理推進機構) が同様の注意喚起を発出する可能性が高いです。

  1. 情報システム部門: Chrome Enterpriseの管理コンソールで全社デバイスのChromeバージョンを確認し、未更新端末を特定する
  2. CSIRT: CISA KEVカタログとJPCERT/CCの注意喚起を定期的にチェックし、該当する脆弱性の社内対応状況を追跡する
  3. テレワーク環境: 社外ネットワークで使用されるBYODデバイスは管理が行き届きにくいため、VPN接続時のバージョンチェックやMDM(モバイルデバイス管理)での制御を検討する

日本語フィッシングへの警戒

ゼロデイ脆弱性の悪用は、しばしばフィッシング攻撃と組み合わせて実行されます。CVE-2026-5281も、細工されたHTMLページにユーザーを誘導するため、フィッシングメールやSNSの偽投稿が利用される可能性があります。

日本語のフィッシングメールは年々巧妙化しており、「Chromeのセキュリティ更新」を装った偽のアップデート通知にも注意が必要です。Chromeの更新は必ず chrome://settings/help から行い、メール内のリンクからダウンロードしないようにしましょう。

ブラウザゼロデイ増加の背景

Chromeのゼロデイ発見ペースが加速している背景には、構造的な要因があります。

ブラウザの複雑化

現代のブラウザは単なるWebページビューアではなく、事実上のアプリケーションプラットフォームです。WebGPU、WebAssembly、Web Bluetooth、WebUSBなど、ハードウェアに直接アクセスする高機能APIが次々と追加されており、それぞれが新たな攻撃対象領域を生んでいます。

攻撃の経済的価値

ブラウザのゼロデイエクスプロイトは、サイバー犯罪やサイバー諜報活動において極めて高い価値を持ちます。ゼロデイブローカー市場では、Chromeのフルチェーンエクスプロイト(ゼロデイ + サンドボックスエスケープ)に数百万ドルの報酬が提示されることもあります。この経済的インセンティブが、高度な攻撃者による脆弱性研究を加速させています。

防御側の検知能力向上

一方で、ゼロデイ発見件数の増加は、Googleの脅威分析グループ(TAG)やMandiantなどのセキュリティチームによる検知能力の向上を反映している面もあります。以前は検知されずに悪用されていたゼロデイが、より迅速に発見・報告されるようになったという見方もできます。

まとめ——今すぐ取るべきアクションステップ

CVE-2026-5281は、CVSS 8.8の高深刻度脆弱性であり、すでに実際の攻撃で悪用が確認されています。35億人のChromeユーザー、そしてChromiumベースのすべてのブラウザユーザーが潜在的な影響を受けます。以下のアクションを今すぐ実行してください。

  1. Chromeを最新版に更新する: chrome://settings/help を開き、バージョンが146.0.7680.177以上であることを確認する。更新後は必ずブラウザを再起動する
  2. Chromiumベースの他のブラウザも確認する: Edge、Brave、Opera、Vivaldiなどを使用している場合は、それぞれの最新版に更新する
  3. 自動更新が有効であることを確認する: 企業環境ではChrome Enterpriseポリシーで自動更新を強制設定する
  4. 不審なWebサイトへのアクセスを避ける: 特にメールやSNS経由の不審なリンクはクリックしない。「Chrome更新」を装うフィッシングにも注意する
  5. 組織のCSIRT/情報システム部門は: CISA KEVカタログとJPCERT/CCの情報を確認し、全社デバイスのパッチ適用状況を把握する

2026年はまだ始まったばかりですが、Chromeのゼロデイはすでに4件目です。ブラウザのセキュリティは「設定して放置」ではなく、継続的な注意と迅速な対応が求められる時代に入っています。

この記事をシェア

XはてブLinkedIn

セキュリティ」カテゴリの記事

セキュリティ」の記事をもっと見る

関連記事

新着記事