出典: Security NEXT – https://www.security-next.com/182183
米当局、Chromeゼロデイ脆弱性に注意喚起 – Chromium派生ブラウザも影響
2026年3月、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Google Chromeに存在する2件のゼロデイ脆弱性について悪用が確認されたとして注意を呼びかけました。これらの脆弱性はChromiumベースの他ブラウザにも影響を及ぼす可能性があり、早急な対策が求められています。
主要なポイント
- 脆弱性「CVE-2026-3910」:V8スクリプトエンジンの問題
Google ChromeのJavaScriptエンジンであるV8に存在する脆弱性で、細工されたHTMLページを処理すると、ブラウザのサンドボックス内で任意のコードが実行される恐れがあります。 - 脆弱性「CVE-2026-3909」:グラフィック処理コンポーネントSkiaの問題
SkiaはChromeの描画処理を担うコンポーネントですが、細工されたHTMLを読み込むことでメモリの境界外に書き込みが行われ、メモリ破損や不正な動作を引き起こす可能性があります。 - Chromium派生ブラウザも影響を受ける
Google Chromeだけでなく、Microsoft EdgeやOperaなどChromiumをベースとしたブラウザもこれらの脆弱性の影響を受ける可能性があるため、利用者は注意が必要です。 - 悪用が既に確認されている
CISAはこれらの脆弱性が既に攻撃者によって悪用されていることを確認しており、迅速なアップデート適用を推奨しています。
技術的な詳細や背景情報
「V8」はGoogle ChromeのJavaScriptエンジンで、ウェブページ上のスクリプトを高速に実行する役割を持ちます。今回の「CVE-2026-3910」は、V8が細工されたスクリプトを処理する際に、サンドボックスの制限を突破し任意コード実行を許してしまう脆弱性です。サンドボックスとは、プログラムの動作範囲を制限し、システムへの影響を最小限に抑えるための隔離環境です。
一方、「Skia」はChromeの描画エンジンで、ウェブページの画像やグラフィックを処理します。「CVE-2026-3909」は、このSkiaがメモリの境界を超えて書き込みを行う脆弱性で、メモリ破損やクラッシュ、さらには悪意あるコードの実行に繋がる恐れがあります。
影響や重要性
これらの脆弱性は、ウェブブラウザの根幹部分に存在するため、悪用されるとユーザーの端末が乗っ取られたり、個人情報が漏洩したりするリスクがあります。特にゼロデイ脆弱性は、修正パッチが公開される前に攻撃者に悪用されるため、非常に危険です。
また、Chromiumベースのブラウザは世界中で広く利用されているため、影響範囲が非常に大きく、企業や個人ユーザー双方にとって迅速な対応が求められます。行政機関も対象に含まれており、国家レベルでのセキュリティ対策強化が必要です。
まとめ
米CISAが警告したChromeの2件のゼロデイ脆弱性「CVE-2026-3909」「CVE-2026-3910」は、既に悪用が確認されている深刻な問題です。これらはGoogle Chromeだけでなく、Microsoft EdgeやOperaなどのChromium派生ブラウザにも影響を及ぼすため、利用者は速やかにブラウザを最新バージョンにアップデートし、セキュリティリスクを軽減することが重要です。
