グーグルがChromeユーザー向けに高リスクのセキュリティ更新の展開を始めてからわずか数日後、実際の攻撃で新たなゼロデイ脆弱性の悪用が確認されたことを受け、同社は新たな警告を発した。これは、世界で最も利用されているウェブブラウザーであるChromeの35億人のユーザーを狙う攻撃で、ハッカーがすでにCVE-2026-5281の悪用で先手を打っていることを意味する。
良いニュースは、グーグルがこの深刻度の高い脆弱性に対処するため、さらに別のセキュリティ更新の配布を始めていることだ。しかも、この脆弱性に加えて20件もの脆弱性にも対応している。一方悪いニュースは、グーグルの発表によれば、その更新が手元に届くまでに数日、場合によっては数週間かかる可能性があることだ。もっとも、自分のChromeブラウザーにグーグルのセキュリティ更新を今すぐ適用させる方法はある。この記事の最後までスクロールすれば、手順を順を追って確認できる。それまでの間、CVE-2026-5281のゼロデイ脆弱性について知っておくべきことを以下に示す。
Chromeのゼロデイ脆弱性CVE-2026-5281について分かっていること
まず分かっているのは、Chromeではゼロデイ脆弱性が珍しいものではなくなりつつあるということだ。今回の更新は、2026年の第1四半期だけでグーグルが修正した4件目のゼロデイとなる。これに先立ち、2月にはCVE-2026-2441、米国時間3月10日にはCVE-2026-3909とCVE-2026-3910が修正されている。比較のために言えば、グーグルが2025年通年で修正したゼロデイは合計8件で、これに加えて、リンク先の関連記事の公開後にさらに1件が確認されている。
CVE-2026-5281の詳細について、グーグルは例によって技術的情報をほとんど公開していない。Google Chromeチームのメンバーであるスリニヴァス・シスタは、「大多数のユーザーに修正が行き渡るまで、バグの詳細およびリンクへのアクセスは制限される場合があります」と述べている。現時点で判明しているのは、この深刻度の高いゼロデイ脆弱性はuse-after-free型(解放済みメモリー使用型)のメモリー脆弱性で、Chromeのクロスプラットフォーム対応コンポーネントであるDawn WebGPU(ウェブブラウザー上でGPUを活用するためのグラフィックスAPI)に影響するということだ。攻撃者がこの脆弱性をうまく発動させれば、しかも悪用はすでに確認されているが、データ破損やブラウザーのクラッシュを引き起こす可能性がある。脆弱性データベースのVulnersによれば、攻撃者は「細工したHTMLページを通じて任意のコードを実行できる」という。
数日から数週間待たずにChromeのゼロデイ向けセキュリティ更新を適用する方法
何もせず、更新が届いて自動的にインストールされるのを待ちたくなるかもしれない。それ自体はまったく妥当な対応だ。だが、ゼロデイ脆弱性の修正では、筆者は慎重を期して、自分で更新を始めることを勧める。幸い、これは非常に簡単で、しかも大部分は自動で進む。やるべきことは、Chromeブラウザーの3点(︙)メニューを開き、[ヘルプ]→[Google Chrome について]を選ぶだけだ。まだ適用されていなければ、更新プログラムのダウンロードとインストールが自動的に始まる。あとは、表示に従ってブラウザーを再起動すれば、CVE-2026-5281と、グーグルが修正した他の20件の脆弱性から保護される。
