2023年以降、毎週のセキュリティ更新は珍しいことではなくなった。しかし、グーグルが最初の更新からわずか48時間後にChromeブラウザー向けの2回目のセキュリティ更新を配信したとなれば、深刻な事態が起きていると分かる。実際その通りであり、グーグルはChromeユーザーを標的にしたゼロデイ脆弱性が少なくとも2件あることを認め、すでに悪用コードが出回っていることも明らかにしている。
グーグルは、Chrome 153以降、安定版リリースの更新を隔週に切り替え、更新間隔を半分にするとしている。米国時間3月3日に公開された更新に続く米国時間3月10日分の更新には、実に29件もの脆弱性修正が含まれていた。そうした中でグーグルはさらに、「CVE-2026-3909」「CVE-2026-3910」の2件に対処する緊急セキュリティ更新を配信した。どちらもゼロデイ脆弱性である。
本稿の読者なら、それが何を意味するかは分かるだろう。パッチが公開される前、さらにはグーグル自身がその脆弱性の存在を把握する前から、すでに攻撃が始まっていたということである。
現時点で分かっていることと、35億人のグーグルChromeブラウザー利用者が取るべき対応は以下の通りである。
グーグルがすでに悪用されていると認めたゼロデイ脆弱性とは?
グーグルは、これら新たなゼロデイ脆弱性の技術的詳細について、「大多数のユーザーが修正版に更新するまで」公開を制限するとしている。とはいえ、現時点で分かっていることはある。
第1に、両方の脆弱性はCVSS(共通脆弱性評価システム)で重大度が高く、Chromeブラウザーの基盤技術を支える中核コンポーネントに影響する。
第2に、これらのゼロデイは、多くの場合のように外部のセキュリティ研究者が見つけたものではなく、グーグルが社内で発見したものである。
CVE-2026-3909
CVE-2026-3909は、いわゆる境界外メモリー脆弱性である。攻撃者に悪用されると、通常はリモートコード実行につながる。この脆弱性は、ChromeのグラフィックスライブラリーコンポーネントであるSkia(スキア)に存在する。Skiaは、少なくとも一部では、ユーザーインターフェースとウェブコンテンツの描画に使われている。米国時間3月12日に筆者が警告したCVE-2026-3913と同様、この脆弱性も、ユーザーが悪意のあるウェブページを訪れるだけで悪用される可能性がある。
CVE-2026-3910
CVE-2026-3910は、同じく極めて重要なChromeコンポーネントであるV8に存在する。これはブラウザーのJavaScriptエンジンであり、そのため機会があればハッカーに繰り返し狙われる標的でもある。OpenCVEはこのゼロデイについて、不適切な実装に関する脆弱性であり、「細工されたHTMLページを介して、リモートの攻撃者がサンドボックス内で任意のコードを実行できる可能性がある」と説明している。
グーグルChromeユーザーはすぐに更新の有無を確認
単純な答えは「何もしなくてよい」だと思うかもしれない。というのも、グーグルはすでにすべてのユーザーに向けて、このセキュリティ更新の展開を始めているからである。しかし、話はそれほど単純ではない。まず、グーグル自身が、このセキュリティ更新は「今後数日から数週間かけて」展開されるとしている。
アップデート後はChromeを再起動をすること
筆者は以前にも述べたし、今後も繰り返し述べるだろうが、ゼロデイを過小評価してはならない。したがって推奨される対応は、ブラウザーの三点(︙)メニューから[ヘルプ]→[Google Chrome について]を開き、更新の有無を確認することである。ここで更新を確認し、最新のセキュリティ修正が適用されていなければ、該当バージョン──Windows/Macでは146.0.7680.75/76、Linuxでは146.0.7680.75──のダウンロードとインストールが始まる。
また自動更新であれ、自分でアップデートした場合であれ、それを有効にするにはブラウザーを再起動しなければならない。
