Chromeゼロデイ2件が同時発覚——V8とSkiaの脆弱性が実際に悪用中
**世界のデスクトップブラウザ市場で約65%のシェアを握るGoogle Chromeに、2件のゼロデイ脆弱性が同時に発覚した。**しかも、どちらも「実際の攻撃で悪用されている(in the wild)」という深刻なケースだ。CVE-2026-3909(Skia)とCVE-2026-3910(V8)はともにCVSS 8.8の高スコアを記録し、米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)が即座にKEV(既知の悪用済み脆弱性)カタログに追加する異例の対応を取った。
Chromeのユーザー数は世界で約34億人と推定されている。その全員が潜在的な影響を受ける今回の脆弱性は、2026年に入って最も注目すべきブラウザセキュリティインシデントと言える。本記事では、2つの脆弱性の技術的なメカニズム、攻撃の流れ、そして今すぐ取るべき対策を詳しく解説する。
V8とSkiaの脆弱性とは
今回修正された2つの脆弱性は、Chromeの中核を担う異なるコンポーネントに存在する。それぞれの技術的なメカニズムを見ていこう。
CVE-2026-3909: Skia 2Dグラフィックスライブラリの境界外書き込み
SkiaはGoogleが開発するオープンソースの2Dグラフィックスライブラリで、Chromeのレンダリングエンジンの中核を担っている。Webページ上のテキスト描画、画像処理、CSS効果の適用など、ユーザーが目にするほぼすべてのビジュアル要素はSkiaを通じて処理される。Android OSやFlutterフレームワークでも使用されており、影響範囲は非常に広い。
今回のCVE-2026-3909は、Skiaにおける**境界外書き込み(Out-of-Bounds Write、OOB Write)**の脆弱性だ。これは、プログラムが確保されたメモリ領域の外にデータを書き込んでしまうバグで、攻撃者はこれを悪用して以下のような攻撃を実行できる。
- メモリ破壊: 隣接するメモリ領域のデータを上書きし、プログラムの動作を改ざん
- 任意コード実行: 攻撃者が用意したコードの実行アドレスをメモリに書き込むことで、被害者のマシン上で任意のプログラムを実行
- 権限昇格: ブラウザプロセスの権限を乗っ取り、システムリソースへのアクセスを取得
攻撃の具体的な手口は、細工されたHTMLページを被害者に閲覧させるだけだ。特別なプラグインのインストールやユーザーの操作は不要で、ページを開いた瞬間にSkiaのグラフィックス処理がトリガーされ、脆弱性が悪用される。
CVE-2026-3910: V8 JavaScriptエンジンの不適切な実装
V8はChromeに搭載されているJavaScript/WebAssemblyエンジンで、Webページ上のスクリプトをコンパイル・実行する役割を担う。Node.jsやDenoのランタイムとしても使用されており、Webエコシステム全体の基盤となっている。
CVE-2026-3910は、V8における**不適切な実装(Inappropriate Implementation)**に分類される脆弱性だ。これはV8のJITコンパイラ(Just-In-Time Compiler)やガベージコレクション機構などの内部処理に、仕様と異なる実装が含まれていたことを意味する。
攻撃者はこの実装の不整合を突くことで、サンドボックス内での任意コード実行を達成できる。Chromeはセキュリティ対策としてサンドボックス(隔離された実行環境)を使用しているが、サンドボックス内であっても任意コードが実行可能になると、以下のリスクが生じる。
- 情報窃取: ブラウザ内のCookie、セッション情報、入力中のフォームデータを盗み出す
- 暗号通貨ウォレットの操作: ブラウザ拡張機能として動作するウォレットのデータにアクセス
- さらなるエスプロイトとの連鎖: サンドボックスエスケープの脆弱性と組み合わせることで、完全なシステム制御を達成
こちらもSkiaの脆弱性と同様、細工されたHTMLページを閲覧させるだけで攻撃が成立する。
この図は、攻撃者が細工したHTMLページを経由してSkiaとV8の脆弱性をそれぞれ悪用する攻撃フローと、その影響範囲を示しています。
2つのCVEの比較
今回の2件の脆弱性の特徴を比較表で整理する。
| 項目 | CVE-2026-3909 | CVE-2026-3910 |
|---|---|---|
| 対象コンポーネント | Skia(2Dグラフィックスライブラリ) | V8(JavaScript/WebAssemblyエンジン) |
| 脆弱性の種類 | 境界外書き込み(OOB Write) | 不適切な実装(Inappropriate Implementation) |
| CWE分類 | CWE-787 | CWE-358 |
| CVSSスコア | 8.8(High) | 8.8(High) |
| 攻撃ベクター | ネットワーク経由(細工されたHTMLページ) | ネットワーク経由(細工されたHTMLページ) |
| 攻撃の複雑さ | 低(Low) | 低(Low) |
| 必要な権限 | なし(None) | なし(None) |
| ユーザーの操作 | ページの閲覧のみ | ページの閲覧のみ |
| 影響 | メモリ破壊→任意コード実行 | サンドボックス内で任意コード実行 |
| 悪用の確認 | 実際の攻撃で悪用済み(in the wild) | 実際の攻撃で悪用済み(in the wild) |
| 修正バージョン | Chrome 146.0.7680.80 | Chrome 146.0.7680.80 |
| 影響OS | Windows / Mac / Linux | Windows / Mac / Linux |
注目すべきは、両方の脆弱性が攻撃の複雑さが「低」で、特別な権限も不要という点だ。攻撃者は標的にメールやSNSでリンクを送り、クリックさせるだけで攻撃が成立する。従来のマルウェア配布と比べても、攻撃のハードルが極めて低い。
2026年のChrome脆弱性タイムライン
2026年に入ってから、Chromeのゼロデイ脆弱性は既に4件が報告されている。2025年通年の12件と比較すると、わずか3か月で3分の1に達しており、過去最悪のペースだ。
この図は、CVE-2026-3909/3910の発見からCISAのKEV追加、FCEB機関の修正期限までのタイムラインと、2026年のChromeゼロデイ脆弱性の全体像を示しています。
| 時期 | CVE番号 | コンポーネント | 脆弱性の種類 | CVSS |
|---|---|---|---|---|
| 1月 | CVE-2026-0995 | V8 | 型混同(Type Confusion) | 8.8 |
| 2月 | CVE-2026-1743 | Mojo IPC | 解放済みメモリ使用(UAF) | 8.1 |
| 3月 | CVE-2026-3909 | Skia | 境界外書き込み(OOB Write) | 8.8 |
| 3月 | CVE-2026-3910 | V8 | 不適切な実装 | 8.8 |
V8関連の脆弱性が4件中2件を占めている点は注目に値する。V8はJITコンパイルという高度な最適化を行うため、実装のバグが入り込みやすい。Googleは2024年からV8のサンドボックス機構を強化してきたが、攻撃者との「いたちごっこ」は続いている。
Googleの対応スピード
今回のケースでは、3月10日に脆弱性が発見・報告され、わずか2日後の3月12日にはChrome 146.0.7680.80として修正版がリリースされた。このスピードは、Googleのセキュリティチーム(Project Zero含む)の迅速な対応体制を示している。
ただし、Googleは脆弱性の詳細な悪用方法を非公開としている。これは、パッチ適用が十分に広まる前に他の攻撃者が手口を模倣するのを防ぐための標準的な措置だ。過去の経験では、脆弱性の技術的詳細が公開されると24〜48時間以内に新たなエクスプロイトが作成されるケースが確認されている。
CISAのKEV追加と連邦機関への影響
米国のCISA(Cybersecurity and Infrastructure Security Agency)は、3月13日に両方のCVEをKEV(Known Exploited Vulnerabilities)カタログに追加した。KEVカタログは、実際に悪用が確認された脆弱性のデータベースで、BOD 22-01(拘束力のある運用指令)に基づき、FCEB(Federal Civilian Executive Branch)機関は指定期限までにパッチを適用する法的義務がある。
今回の修正期限は2026年3月27日だ。つまり、米国の連邦政府機関は発見からわずか17日間でChromeの更新を完了しなければならない。
KEV追加の波及効果
KEVカタログの影響は米連邦機関にとどまらない。
- 民間企業への推奨: CISAはKEVリストの脆弱性への対応を全組織に「強く推奨」しており、多くの民間企業がKEVをパッチ適用の優先度基準として採用している
- サイバー保険: 一部のサイバー保険では、KEV記載の脆弱性を放置した場合に保険金が減額される条項がある
- コンプライアンス: FedRAMP認証を取得しているクラウドサービスプロバイダーは、KEV脆弱性への対応が監査項目に含まれる
- サプライチェーン要件: 米国政府と取引のある日本企業を含む海外企業にも、間接的にパッチ適用が求められるケースがある
Chromium系ブラウザへの波及
今回の脆弱性はChrome固有のものではなく、Chromiumエンジンを採用するすべてのブラウザに影響する。SkiaとV8はChromiumプロジェクトのコアコンポーネントであり、以下のブラウザでも同様の修正が必要だ。
| ブラウザ | 開発元 | Chromiumベース | 影響の有無 |
|---|---|---|---|
| Google Chrome | はい | 影響あり(修正済み) | |
| Microsoft Edge | Microsoft | はい | 影響あり(修正対応中) |
| Brave | Brave Software | はい | 影響あり(修正対応中) |
| Opera | Opera Software | はい | 影響あり(修正対応中) |
| Vivaldi | Vivaldi Technologies | はい | 影響あり(修正対応中) |
| Samsung Internet | Samsung | はい | 影響あり(修正対応中) |
| Firefox | Mozilla | いいえ(Gecko) | 影響なし |
| Safari | Apple | いいえ(WebKit) | 影響なし |
Chromium系ブラウザのデスクトップシェアは合計で**約80%**に達する。つまり、世界のPC利用者の大多数がこの脆弱性の潜在的な影響を受けていたことになる。
日本への影響と対応状況
日本のChrome利用率
StatCounterのデータによると、日本のデスクトップブラウザ市場におけるChromeのシェアは**約60%**で、世界平均の65%にやや近い水準だ。モバイルではSafari(iOS)の比率が高いものの、Android端末ではChromeがデフォルトブラウザとして広く使われている。
日本の企業環境では、Google Workspaceの普及に伴いChromeを標準ブラウザとして指定している企業が増加しており、特にIT・Web系企業ではChrome利用率が90%を超えるケースも珍しくない。
JPCERT/CCの対応
日本のJPCERT/CC(JPCERTコーディネーションセンター)も、CISAのKEV追加を受けて注意喚起を発出している。JPCERT/CCは日本国内の組織に対して以下の対応を推奨している。
- 即座のChrome更新: Chrome 146.0.7680.80以降への更新を最優先で実施
- Chromium系ブラウザの確認: Edge、Brave等を使用している場合も同様に更新確認
- 管理端末の一括更新: MDM(モバイルデバイス管理)ツールを使用した組織内の一括更新
- アクセスログの確認: 不審なWebサイトへのアクセス履歴がないかの確認
日本企業のブラウザ管理の課題
日本企業のブラウザ管理には、いくつかの構造的な課題がある。
パッチ適用の遅延: 大企業では、ブラウザ更新前にアプリケーションの互換性検証を行うプロセスがあり、ゼロデイ脆弱性の修正であっても即座に展開できないケースがある。今回のようなCVSS 8.8の脆弱性では、検証プロセスの短縮や緊急パッチの即時適用ポリシーが必要だ。
BYOD端末の管理: テレワークの普及に伴い、個人所有デバイスを業務に使用するBYOD(Bring Your Own Device)が一般化している。しかし、BYOD端末のブラウザバージョンを組織として管理・強制更新する仕組みが整っていない企業も多い。
レガシーWebアプリケーション: 日本企業では、Internet Explorer時代に構築されたレガシーWebアプリケーションが依然として稼働しているケースがあり、「特定バージョンのChromeでないと動作しない」といった理由でブラウザ更新を見送る事例が報告されている。このような運用は、ゼロデイ脆弱性に対して極めて脆弱だ。
個人ユーザーが今すぐ確認すべきこと
Chromeのバージョン確認方法
- Chromeのアドレスバーに
chrome://settings/helpと入力 - 表示されるバージョン番号が 146.0.7680.80以降 であることを確認
- 「Chromeは最新の状態です」と表示されればOK
- 更新が利用可能な場合は「再起動」ボタンをクリック
パスワードとアカウントの保護
ゼロデイ脆弱性が悪用された場合、ブラウザに保存されたパスワードやセッション情報が窃取される可能性がある。1Passwordのような専用のパスワードマネージャーを使用し、ブラウザ本体にパスワードを保存しない運用に切り替えることで、万が一ブラウザが侵害された場合のリスクを大幅に軽減できる。
パスワードマネージャーは、ブラウザとは独立したプロセスで動作するため、ブラウザのV8やSkiaの脆弱性が悪用されても、パスワードマネージャー内のデータは直接的には影響を受けない。二要素認証(2FA)と組み合わせることで、さらに強固な防御が実現できる。
まとめ——今すぐ取るべき3つのアクション
CVE-2026-3909(Skia)とCVE-2026-3910(V8)は、ともにCVSS 8.8の深刻な脆弱性であり、既に実際の攻撃で悪用されている。以下の3つのアクションを今すぐ実行してほしい。
-
Chromeを即座に更新する:
chrome://settings/helpを開き、Chrome 146.0.7680.80以降に更新されていることを確認する。Chromium系のEdge、Brave、Opera等も同様に更新を確認する。自動更新が有効になっていても、ブラウザの再起動が必要なケースがあるため、手動での確認を推奨する -
パスワード管理を見直す: ブラウザにパスワードを直接保存している場合は、1Passwordなどの専用パスワードマネージャーへの移行を検討する。ブラウザの脆弱性が悪用された場合でも、パスワードマネージャー内のデータは保護される。重要なアカウントには二要素認証(2FA)を必ず設定する
-
組織のブラウザ管理を強化する: IT管理者は、MDMツールを活用してChrome更新の一括展開を実施する。BYOD端末についても最低バージョンの要件を設定し、未更新の端末からの社内システムアクセスを制限するポリシーの導入を検討する。CISAのKEVカタログを定期的にモニタリングし、緊急パッチの即時適用フローを整備しておくことが重要だ
2026年はまだ始まったばかりだが、Chromeのゼロデイ脆弱性は既に4件に達している。攻撃者はブラウザを主要な攻撃ベクターとして狙い続けており、「自動更新があるから大丈夫」という認識では不十分だ。ブラウザの更新状況を定期的に確認し、多層防御の考え方でセキュリティ対策を講じていくことが、すべてのユーザーに求められている。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星