Googleの緊急セキュリティアップデート概要
Googleは2026年3月13日、Chromeブラウザの2つのゼロデイ脆弱性に対処するための緊急セキュリティアップデートを開始しました。これらの脆弱性は、攻撃者によって既に悪用されていることが確認されています。
ゼロデイ脆弱性とは
ゼロデイ脆弱性(Zero-Day Vulnerability)とは、ソフトウェアの開発者やベンダーがまだその存在を認識していない、または脆弱性を修正するパッチ(修正プログラム)が公開されていない状態のセキュリティ上の欠陥を指します。脆弱性の発見から修正プログラムの提供までの期間を「0日目」とみなすため、この名称が付けられています。
この期間中は防御手段が存在しないため、攻撃者が脆弱性を悪用した攻撃(ゼロデイ攻撃)が成功しやすく、非常に高い脅威となります。通常の脆弱性情報はベンダーから公表され、パッチが適用可能になるまで時間がかかりますが、ゼロデイの場合、攻撃者は事前に情報を秘匿して攻撃を仕掛けることが可能です。
対象となる脆弱性
今回のアップデートで修正された脆弱性は、CVE-2026-3909とCVE-2026-3910の2つです。どちらもCVSSスコア8.8の高severityで、wild(現実の攻撃環境)でexploit(悪用)が確認されています。
- CVE-2026-3909:Skia 2Dグラフィックスライブラリにおけるアウトオブバウンズ書き込み(out-of-bounds write)の脆弱性。巧妙に作成されたHTMLページ経由でリモート攻撃者がメモリ境界外へのアクセスを行い、ブラウザのクラッシュやコード実行を引き起こす可能性があります。SkiaはChromeのレンダリングに広く使用されるオープンソースライブラリです。
- CVE-2026-3910:V8 JavaScriptおよびWebAssemblyエンジンにおける不適切な実装(inappropriate implementation)の脆弱性。巧妙に作成されたHTMLページにより、リモート攻撃者がサンドボックス内で任意のコードを実行できる可能性があります。V8はChromeのJavaScript処理の中核エンジンです。
両脆弱性ともGoogle Threat Analysis Groupにより2026年3月10日に発見・報告され、迅速に修正が適用されました。攻撃の詳細や攻撃者に関する情報は、ほとんどのユーザーがアップデートを完了するまで公開されていません。
アップデートの詳細
この緊急アップデートは、Windows向けにバージョン146.0.7680.75、macOS向けに146.0.7680.76、Linux向けに146.0.7680.75としてロールアウトされています。Googleは、技術的詳細を大多数のユーザーが更新を適用するまで制限する方針を採用しています。
ユーザーの対応
Chromeユーザーは、ブラウザの「ヘルプ」→「Google Chromeについて」からアップデートを確認し、すぐに最新バージョンへ更新することを強く推奨します。このアップデートは、2026年2月に修正された別のゼロデイ(CVE-2026-2441)に続くもので、Chromeの継続的なセキュリティ強化を示しています。ゼロデイ脆弱性の悪用は深刻な被害を招く可能性があるため、早急な対応が不可欠です。
