Google Chromeに緊急のセキュリティ更新――ゼロデイ脆弱性が実環境で悪用中

Googleは2026年2月13日、デスクトップ向け「Google Chrome」に対して緊急のセキュリティ更新を公開しました。この更新は、すでに実環境での悪用が確認されている深刻なゼロデイ脆弱性に対処するためのものです。現在、多くのユーザーが直面している脅威と、必要な対応について解説します。

発見された脆弱性「CVE-2026-2441」とは

今回の脆弱性は「CVE-2026-2441」と呼ばれるもので、ChromiumのCSS処理エンジンにおける「use-after-free」(解放済みメモリの参照)型のメモリー脆弱性です。これは、プログラムが一度解放されたメモリ領域を再び参照してしまう問題で、攻撃者に悪用されると極めて危険な状況になります。

具体的には、細工されたHTMLページを読み込むだけで、ヒープ破壊が発生し、サンドボックス内で任意のコードが実行される可能性があります。被害者が改ざんされたウェブサイトや悪意あるウェブサイトにアクセスするだけで攻撃の対象になってしまうため、きわめて危険性が高いのです。

ゼロデイ脆弱性の危険性

「ゼロデイ」というのは、開発元(この場合はGoogle)が把握する前、もしくは修正が行き渡る前に攻撃者が先回りして突く脆弱性のことです。通常のセキュリティ脆弱性であれば、Googleが問題を発見してから修正版を公開するまでにある程度の時間があります。しかし今回の場合、攻撃者はすでに2026年2月11日ごろにはこの脆弱性を悪用していたと考えられており、修正版が公開される前に多くのシステムが攻撃にさらされていた可能性があります。

さらに重要な点として、攻撃コードがすでに流通していることが確認されています。これにより、単なる個別の攻撃ではなく、より多くの悪質な行為者が同じ手法を使用する可能性が高まっています。

CISAも「既知の悪用済み脆弱性」として登録

米国国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2月17日、CVE-2026-2441を「既知の悪用された脆弱性カタログ」(KEV)に追加しました。このカタログは、実際に脅威行為者に悪用されたことが確認されている脆弱性について、疑いなく最も権威ある情報源です。CISAの登録は、各組織に対して優先的な対処を強く促すものであり、このニュースの深刻性を象徴しています。

どのバージョンまで影響を受けるのか

CVE-2026-2441は、Google Chrome 145.0.7632.75未満のバージョンに影響します。修正済みのバージョンは以下の通りです:

  • Windows / Mac:v145.0.7632.75以降
  • Linux:v144.0.7559.75以降

Googleは2月13日から安定版チャネルの更新を順次展開しており、Windows、macOS、Linuxプラットフォーム向けに提供されています。

影響を受けるブラウザは広い

注意が必要な点として、この脆弱性の影響はGoogle Chromeだけに限りません。Chromiumを基盤とする複数のウェブブラウザが影響を受ける可能性があります。具体的には、「Microsoft Edge」「Brave」「Opera」などのChromium系ブラウザも対象となる可能性があるため、これらのブラウザを利用しているユーザーも注意が必要です。

今すぐ必要な対応

ゼロデイ脆弱性の場合、修正パッチが出ている以上、更新の遅れがそのままリスクになります。自動更新に任せていても、すぐに最新バージョンが適用されない場合があるため、以下の対応をお勧めします:

  • Chromeを手動で最新バージョンに更新する
  • ブラウザのメニュー(三点アイコン)から「ヘルプ」→「Google Chromeについて」を選択して自動更新を確認する
  • Chromium系の別のブラウザを使用している場合も、同様に最新バージョンへの更新を確認する
  • 組織で複数のPCを管理している場合は、IT部門に報告して集中的な対応を依頼する

攻撃側も同じスピード感で動けるため、更新の先延ばしが特に危険になりやすい状況です。報告から修正配信までがわずか2日という迅速な対応がなされている今回のケースでは、ユーザー側も素早い更新が不可欠です。

注意点:改ざんサイトへのアクセス

この脆弱性は、細工されたHTMLページを読み込むだけで悪用される可能性があります。つまり、見た目には普通のウェブサイトでも、バックグラウンドで悪意あるコードが実行される可能性があります。特に信頼性の低いサイトや、セキュリティ警告が表示されるサイトへのアクセスは控えるべきです。

セキュリティ更新の重要性

今回のように、すでに悪用が実証されているゼロデイ脆弱性が公表されたときは、セキュリティ更新が単なる「推奨事項」ではなく「必須対応」になります。ウイルス対策ソフトだけに頼るのではなく、ブラウザ自体のセキュリティ更新を定期的に確認することが、個人情報やプライバシーを守る最初の防線となるのです。

Googleが迅速に修正版を公開している今、ユーザー側も迅速な対応を心がけることが、サイバー脅威からの最も効果的な防御となります。

参考元

関連投稿:

Google Chrome CVE-2026-2441 ゼロデイ脆弱性 緊急アップデート Shaheen Fazim Windows 11/10 2026年1月セキュリティ更新でAzure Virtual Desktop・Windows 365認証エラー CVE-2026-20853対応パッチに不具合 Google Chrome 143.0.7499.192/.193 アップデートでCVE-2026-0628脆弱性修正 Microsoft、2025年12月のWindows Update実施:CVE-2025-62221を含む57件の脆弱性を修正