Chromeゼロデイ脆弱性（CVE-2026-2441）が攻撃中 – 今すぐアップデートを

Google、攻撃中のChromeゼロデイ脆弱性（CVE-2026-2441）にパッチ適用

Googleは、Chromeブラウザの高リスクゼロデイ脆弱性（CVE-2026-2441）に対処するための緊急セキュリティアップデートを公開しました。この脆弱性は現在攻撃が確認されており、セキュリティ研究者Shaheen Fazim氏によって2026年2月11日に報告されました。CVSSスコアは8.8とされています。

技術的詳細

CVE-2026-2441は、ChromeのCSSエンジンにおけるUse-After-Free（UAF）脆弱性です。Use-After-Freeのバグは、プログラムが解放されたメモリを引き続き使用することで発生し、攻撃者が任意のコードを実行したり、権限を昇格させる可能性があります。今回の脆弱性は、ChromeがCascading Style Sheets（CSS）を処理する方法に存在し、悪意のあるウェブコンテンツを介して悪用される恐れがあります。

Googleはさらなる悪用を防ぐために詳細な技術情報を公開していませんが、この脆弱性を悪用した攻撃がすでに行われていることを確認しています。この傾向は、Chromeが広く普及していることから、ゼロデイ攻撃の主要なターゲットとなっている最近の状況と一致しています。

影響分析

CVE-2026-2441が悪用されると、脅威アクターは以下のような行為が可能になります：

• Chromeブラウザのコンテキストで任意のコードを実行
• セキュリティサンドボックス機構を回避
• 影響を受けるシステムの制御を奪取する可能性

2026年現在、Chromeの市場シェアは65％以上を占めており、この脆弱性は個人ユーザーと企業の両方にとって重大なリスクをもたらします。攻撃者はフィッシングキャンペーン、侵害されたウェブサイト、または悪意のある広告（マルバタイジング）を通じて、スパイウェア、ランサムウェア、バンキングトロジャンなどのペイロードを配信する可能性があります。

推奨対策

Googleは、Windows、macOS、Linux向けにパッチ適用済みのChromeバージョン（122.0.6261.57/.58）を公開しました。ユーザーおよび管理者は、以下の対策を強く推奨します：

1. 即時アップデート – Chromeを最新バージョンに更新：

   • 設定 → Chromeについて（自動アップデート確認）
   • エンタープライズ環境では、管理ポリシーを通じてアップデートを展開

2. パッチ適用の確認 – chrome://settings/helpでChromeのバージョンを確認し、アップデートが適用されていることを確認。

3. 不審な活動の監視 – 企業は、予期しないプロセス実行や悪意のあるドメインへのネットワーク接続など、ブラウザの異常な動作をログで確認。

4. ユーザー教育 – 従業員やエンドユーザーに対し、信頼できないウェブサイトの閲覧や不審なリンクのクリック（特にフィッシングメール内）のリスクについて警告。

5. 追加の保護策の検討 – エンドポイント検出および対応（EDR）ソリューションを導入して、攻撃後の活動を検出。また、厳格なコンテンツセキュリティポリシー（CSP）を適用して、ウェブベースの攻撃を緩和。

Googleは、この脆弱性を報告したShaheen Fazim氏に報奨金を授与しましたが、具体的な金額は公開されていません。同社は引き続き、研究者に対して脆弱性報奨金プログラムを通じてセキュリティの問題を責任を持って報告するよう呼びかけています。

最新情報については、GoogleのChrome Releasesブログをご覧ください。