グーグルは、Windows、Mac、Linuxの全ユーザーを対象としたセキュリティアップデートとなるChrome 145.0.7632.116/117をリリースした。先延ばしにせず、今すぐブラウザーをアップデートすべきだ。修正された脆弱性には、システムの乗っ取りや暗号鍵への不正アクセスといった脅威が含まれているからだ。
確認された3件のセキュリティ脆弱性──CVE-2026-3061、CVE-2026-3062、CVE-2026-3063──は、現時点ではいずれも攻撃者による悪用が確認されていない。とはいえ、この脅威の可能性を確実に閉じるには、ブラウザーをアップデートし、そのアップデートを有効化する以外に方法はない。
いつものことながら、今回のGoogle Chromeセキュリティアップデートの告知は、修正された脆弱性について多くの詳細を提供していない。実際、CVE(Common Vulnerabilities and Exposures=共通脆弱性識別子)の指定番号、脆弱性の種類に関する大まかな技術的分類、そして該当する場合は報告した研究者の名前を除けば、グーグルは固く口を閉ざしている。
ただし、この姿勢は理にかなっている。グーグル自身が次のように述べているからだ。「バグの詳細やリンクへのアクセスは、大多数のユーザーに修正が行き渡るまで制限される場合があります」。脅威アクター(攻撃を行う主体)に技術的な手がかりを過度に与える必要はないというわけである。とはいえ、ハッカーに悪用の「宝箱の鍵」を手渡すことなく、各脆弱性の概要を示すことは可能だ。以下にその内容を述べる。
セキュリティ脆弱性 CVE-2026-3061
CVE-2026-3061は、Google ChromeのMedia(メディア)コンポーネントにおける境界外読み取り(out-of-bounds read)の脆弱性である。簡単にいえば、このコンポーネントが本来想定されたバッファー領域の範囲を超えてメモリーを読み取ってしまうことを意味する。該当するCWE-125(Common Weakness Enumeration=共通脆弱性125番)の記述が示すように、これにより攻撃者は「暗号鍵、PII(個人を特定できる情報)、メモリーアドレス、またはさらなる攻撃に利用可能なその他の情報といった秘密の値」を取得できる恐れがある。筆者が確認した限り、この脆弱性の悪用に必要なのは、悪意のあるHTMLページをホストするサイトにアクセスすることだけであり、それ以外のユーザー操作や認証は不要と見られる。
セキュリティ脆弱性 CVE-2026-3062
CVE-2026-3062も境界外の脆弱性だが、こちらはmacOSユーザーに影響し、ChromeのTint(ティント)コンポーネントが対象となる。こちらも悪意のあるウェブページを利用するだけで攻撃が可能であり、攻撃者が不正なコードを実行し、機密データを窃取できる恐れがある。リモートからの実行が可能で、CVE-2026-3061やCVE-2026-3063と同様に事前の認証も必要としないため、深刻度「高」と評価されたCVEだ。
セキュリティ脆弱性 CVE-2026-3063
最後に、CVE-2026-3063は、Google ChromeのDevTools(デベロッパーツール)実装における「不適切な実装」と呼ばれる種類の脆弱性だ。言い換えれば、本来許可されるべきでない動作を可能にしてしまうものだ。筆者の理解では、この脆弱性により特権ページに悪意あるスクリプトを注入できる恐れがある。ただし、悪用にはユーザーが怪しい拡張機能をインストールすることが前提となる。もし悪用された場合、不正なコード実行とそれに伴うあらゆる被害が生じ得る。
最新のGoogle Chromeセキュリティアップデートに関する判断
良いニュースは、グーグルがすでに全Chromeブラウザーユーザー向けに必要なセキュリティアップデートの配信を開始しており、これらは自動的にインストールされるという点だ。悪いニュースは、このプロセスが即座に完了するものではないことだ。グーグルは、アップデートが「今後数日から数週間にわたって順次展開される」としている。筆者はこれまでも繰り返し勧めてきたし、今後も同じ助言を続けるが、パッチが届くのを待つのではなく、自らアップデートを先回りして開始することをお勧めする。手順はいたって簡単だ。ブラウザーをいったん終了して再起動し、アップデートがインストールされるか確認するか、ブラウザー右上にある三点メニュー(︙)の「ヘルプ>Google Chrome について」を開けばよい。
