CVE-2026-11645 Chromeの脆弱性

Googleは、Chromeブラウザで悪用されている新たなゼロデイ脆弱性に対処するため、緊急セキュリティアップデートをリリースした。CVE-2026-11645として追跡されているこの脆弱性は、2026年初頭以降、同社が修正した5つ目のChromeのゼロデイ脆弱性となる。

Googleによると、この脆弱性を悪用した攻撃が既に実際の攻撃で使用されていることが確認されている。この問題は匿名で同社に報告され、その後、安定版デスクトップチャネルを通じて修正プログラムが展開された。

修正版は現在、Windows (149.0.7827.102)、macOS (149.0.7827.103)、Linux (149.0.7827.102) 向けに世界的に展開されています。ただし、アップデートがすべての Chrome ユーザーに届くまでには、数日、場合によっては数週間かかる可能性があります。

手動でアップデートをインストールしないユーザーのために、Chromeは次回のブラウザ起動時に利用可能なセキュリティ修正プログラムを自動的に確認し、適用するように設計されています。

CVE-2026-11645の内部：危険なV8エンジンの欠陥

この深刻な脆弱性は、ChromeのV8 JavaScriptエンジンにおける境界外読み取り/書き込みの脆弱性に起因します。攻撃者は、特別に細工されたHTMLページを介してこの脆弱性を悪用し、ブラウザのサンドボックス環境内で任意のコードを実行できる可能性があります。

攻撃が成功すると、ヒープが破損し、攻撃者は本来の境界外のメモリにアクセスできるようになります。この動作により、機密情報が漏洩したり、ブラウザがクラッシュしたり、その他の悪意のある活動が助長されたりする可能性があります。

不正なメモリアクセスに加えて、この脆弱性はアドレス空間配置ランダム化（ASLR）などのセキュリティ保護を回避するためにも悪用される可能性があり、他の脆弱性と組み合わせることでコード実行の可能性を高める。

ユーザー保護のための限定的な情報開示

Googleは脆弱性が悪用されていることを認めているものの、攻撃に関する技術的な詳細はまだ明らかにしていない。Chromeユーザーのかなりの割合がセキュリティアップデートをインストールするまで、バグ情報や関連リソースへのアクセスは制限されたままとなる可能性がある。

影響を受けるコードが、他のプロジェクトで使用されているサードパーティライブラリ内に存在し、それらのライブラリがまだ独自の修正を実装していない場合、制限が継続される可能性があります。

2026年に増加するゼロデイ攻撃の脅威

CVE-2026-11645は、今年に入ってから実際に悪用されている他の複数のChromeのゼロデイ脆弱性の仲間入りを果たした。

• CVE-2026-2441 – CSSFontFeatureValuesMapにおけるイテレータ無効化の脆弱性。2月に修正済み。

Chromeがゼロデイ攻撃と戦い続ける

今回の緊急アップデートでは、最新のウェブブラウザを標的としたゼロデイ脆弱性がもたらす根強い脅威が強調されています。Googleは2025年を通して、実際に悪用されたChromeのゼロデイ脆弱性を8件修正しました。これらの脆弱性のいくつかは、高度なサイバー諜報活動やスパイウェア攻撃の追跡で知られる専門チームであるGoogleの脅威分析グループ（TAG）によって特定されました。

悪用されている脆弱性が継続的に発見されていることは、進化するサイバー脅威からユーザーを保護する上で、ブラウザのタイムリーなアップデートと脆弱性の迅速な修復がいかに重要であるかを改めて示している。