Chrome 2件のゼロデイ CVE-2026-3909/3910 が FIX:実環境での悪用を確認

Two Newly Discovered Chrome Zero-Days Exploited in the Wild to Run Malicious Code

2026/03/12 gbhackers — Google が公表したのは、Chrome デスクトップ・ブラウザに存在する 2 件の深刻なゼロデイ脆弱性に対する、緊急セキュリティ・アップデートである。それらの脆弱性 CVE-2026-3909/CVE-2026-3910 は、いずれも深刻度 High に分類されており、実際の攻撃での悪用が確認されている。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、コード実行やシステム侵害から保護することだ。

脆弱性の技術詳細

この 2 件のセキュリティ脆弱性は、2026年03月10日に Google の内部セキュリティ・チームにより発見され、2026年03月12日付けで Stable Channel でアップデートされている。

1 件目の脆弱性 CVE-2026-3909 は Skia に存在する境界外書き込み (out-of-bounds write) に起因する。Skia は Chrome のコア・グラフィックス・エンジンとして機能する、オープンソースの 2D グラフィックス・ライブラリである。

境界外書き込みの脆弱性は、割り当てられたメモリ・バッファの境界を超えて、プログラムがデータを書き込む場合に発動する。このメモリ破損を悪用する攻撃者は、ブラウザ・クラッシュや、被害者のデバイス上での任意のコード実行を可能にする。

2 件目の脆弱性 CVE-2026-3910 は、V8 における不適切な実装に起因する。V8 は、ブラウザを支える高性能の JavaScript/WebAssembly エンジンである。

このような重要コンポーネントに存在する実装上の欠陥を悪用する脅威アクターは、セキュリティ・サンドボックスを回避し、ブラウザ・メモリを操作することで、バックグラウンドでの不正なスクリプト実行を可能とする。

すでに Google が認めているのは、CVE-2026-3909/CVE-2026-3910 に対するエクスプロイトの存在である。つまり、サイバー犯罪者や国家に支援される攻撃者たちが、これらの脆弱性を実際の攻撃キャンペーンで悪用していることを意味する。

攻撃者たちは、細工された悪意の Web サイトへユーザーを誘導することで、追加のユーザー操作を必要とせずに、これらの脆弱性を悪用できる。

Google は、ユーザーの大多数が安全なバージョンへ更新するまで、これらのバグの詳細技術情報へのアクセスを意図的に制限し、さらなる悪用を防ごうとしている。

パッチ適用と緩和策

企業/個人ユーザーは、最新パッチの適用を優先してネットワーク環境を保護する必要がある。修正バージョンは、段階的に展開されている。

これらの脅威を緩和するために、以下のアップデート・バージョンを適用すべきである。

  • Windows/Mac ユーザーは Chrome version 146.0.7680.75/146.0.7680.76 へアップデートする。
  • Linux ユーザーは Chrome version 146.0.7680.75 へアップデートする。

Microsoft Edge/Brave/Vivaldi などの Chromium ベース・ブラウザを使用するユーザーは、各ベンダーの対応アップデートを確認して速やかに適用すべきだ。

Google Chrome を手動でアップデートするには、Chrome メニューへ移動して “Help” を選択し、”About Google Chrome” をクリックする。ブラウザは自動的に最新アップデートを確認し、パッチを安全に適用するための再起動を求める。

Google は AddressSanitizer や MemorySanitizer などの高度なテストフレームワークを活用し、これらの欠陥を内部で検出している。しかし、積極的なゼロデイ・エクスプロイトに対する最も効果的な防御は、ユーザーが迅速にパッチを適用することである。

Google は、Chrome デスクトップ・ブラウザに存在する 2 件の深刻なゼロデイ脆弱性 CVE-2026-3909/CVE-2026-3910 に対する緊急アップデートを公開しました。これらの脆弱性の原因は、Graphics/JavaScript エンジンという、ブラウザのコアに潜むメモリ管理と実装の不備にあります。

Google は、これら 2 件の脆弱性が、すでに実際の攻撃で悪用されていることを認めています。攻撃者が用意した悪質な Web サイトを閲覧するだけで、追加の操作なしにシステムを侵害される恐れがあるため、きわめて危険な状態にあります。ご利用のチームは、ご注意ください。よろしければ、Chrome での検索結果も、ご参照ください。