専門家が警告、Chrome攻撃の起点はほぼ無限
CVE-2026-2441は「(HTMLなどを画面として描き出すエンジンにあたる)レンダラー内に存在し、通常のページコンテンツ経由で到達可能」だ。そのため、サイバーセキュリティ企業Action1のフィールドCTO(最高技術責任者)であるジーン・ムーディは「攻撃の起点となる範囲はほぼ無限です。実際のところ、脆弱性のあるユーザーが悪意あるページにアクセスするだけで、このバグを発動させるには十分な場合があります」と警告した。
もっともムーディは、バグを引き起こすことと、悪用に成功することが同じだと言っているわけではない。「最近のChromeビルドには、Address Space Layout Randomization(ASLR、アドレス空間配置のランダム化)、パーティション化されたヒープ、制御フロー保護、厳格なサンドボックス化があります」とムーディは説明した。「この種のペイロードをその環境で悪用するには、通常、意図的なヒープグルーミング(メモリー配置を攻撃に都合よく整えること)、慎重なタイミング調整、特定のバージョンやプラットフォームにまたがるテストが必要で、大規模に成立させるにはそれらが欠かせません」。
つまり攻撃は簡単ではない。これは良い知らせである。しかし不可能でもない。ムーディは「もはや『容易であること』は、現代の脅威アクターの基準ではありません。彼らは非常に高度な組織的作戦を展開しています」と警告する。さらにムーディは、CVE-2026-2441の初期実行はChromeのレンダラーサンドボックス内で行われるため、コード実行時の攻撃者のOS権限は限定されるものの、「ブラウザーの範囲内での認証情報の窃取、セッションハイジャック、あるいは第二段階の攻撃コードを仕込む足がかりには依然として使われ得ます」とも指摘した。
自動的な修正配信を待たずに、今すぐ手動でChromeを更新する方法──そして、そうすべき理由
以前も述べたことだが、2月初めにグーグルがChromeの新たな脆弱性2件を確認した際にも同様の指摘をしている。セキュリティアップデートが自動で届くのを待つのは得策ではない。グーグル自身が、ゼロデイ脆弱性を修正する今回のような緊急アップデートであっても「今後数日から数週間かけて展開する」と述べている。これは待つには長すぎる。代わりに必要なのは、自分でアップデートプロセスを開始することだ。幸い、これは非常に簡単だ。更新が利用可能かどうかを確認するだけでよい。デスクトップ版の場合、ブラウザー右上の三点(︙)メニューから「ヘルプ」→「Google Chromeについて」を選択する。
更新が利用可能であれば──筆者の長年の経験では利用できなかったことは1度もないが──自動的にダウンロードとインストールが始まる。ここからが最も重要だ。指示が表示されたらブラウザーを再起動すること。再起動しなければ、Google Chromeはこのゼロデイ脆弱性に対して無防備なままである。再起動すれば、WindowsでもMacでもChromeのバージョンは「144.0.7559.177」と表示されるはずだ。(注:訳者のMac上Chromeでは145.0.7632.110となった[日本時間2月20日11:30時点])。
