CISA Alerts Users to Exploited Chrome 0-Day Flaws
2026/03/17 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、きわめて深刻なゼロデイ脆弱性 CVE-2026-3909/CVE-2026-3910 について緊急警告を発表した。これらの脆弱性は、Google Chrome と基盤技術に影響を与え、実環境において現在進行形で悪用されている。そのため CISA は、2 件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦機関に対して即時パッチ適用を義務付けるとともに、民間組織にも同様の対応を強く推奨している。
Skia グラフィックス・エンジンの脆弱性
1 件目の脆弱性 CVE-2026-3909 は、Google Skia に存在する境界外書き込み (out-of-bounds write) の欠陥である。Skia は、テキスト/図形/画像をレンダリングするための、オープンソースの 2D グラフィックス・ライブラリである。
この脆弱性を悪用するリモートの攻撃者は、ユーザーを騙して細工された HTML ページにアクセスさせるだけで、境界外メモリアクセスを引き起こすことが可能になる。
Skia は多くのデジタル・エコシステムに組み込まれているため、この脆弱性の影響は Google Chrome にとどまらず、ChromeOS/Android デバイス/Flutter フレームワークで構築されたアプリケーションなどに及び、重大なセキュリティ・リスクをもたらす。
Chromium V8 JavaScript エンジンの脆弱性
2 件目の脆弱性 CVE-2026-3910 は、Chromium V8 JavaScript エンジンに存在し、メモリ・バッファ内操作における不適切な制約に起因する。このコア・コンポーネントは、動的な Web コンテンツの処理を担っている。
この脆弱性を悪用する攻撃者は、被害者を悪意の Web サイトへ誘導し、細工された HTML ページによりバグをトリガーし、サンドボックス (保護機能) 内での任意のコード実行を可能にする。初期状態において、悪意のコードはサンドボックス内に制限されるが、他の脆弱性と連鎖させる攻撃者が、より高度なシステム・アクセス権を獲得するケースも起こり得る。
V8 は Chromium フレームワークの基盤であるため、この脆弱性は Microsoft Edge/Opera を含む複数の Web ブラウザにも影響を及ぼす。
ーーー
現時点では、2 件の脆弱性とランサムウェア攻撃との関係は確認されていない。ただし、侵害された Web サイトにアクセスするだけでトリガーされる脆弱性であるため、個人/企業ユーザーは極めて危険な状況に置かれている。この種のメモリ破損バグを悪用する攻撃者は、最新のセキュリティ防御を回避することが多いという。
推奨対策
CISA は連邦機関に対し、2026年3月27日までに、2 件の脆弱性に対応するよう指示している。セキュリティ・チームおよび管理者は、以下の対策を実施して、環境を保護する必要がある。
- Google Chrome/Microsoft Edge/Opera などの Web ブラウザを、最新のパッチ適用済みバージョンへ更新する。
- ChromeOS/Android/Flutter ベース・アプリケーションについては、ベンダーの指示に従い必要な更新を適用する。
- 該当する製品において修正が提供されていない場合には、それらの製品の使用を停止する。
- ユーザーが悪意の Web ページにアクセスするだけで攻撃が成立するため、不審なリンクをクリックしないようユーザーへの周知を徹底する。
訳者後書:この深刻な脆弱性は、主にメモリの扱いに関連する不備が原因となっています。具体的に言うと、グラフィックス・ライブラリである Skia に存在する CVE-2026-3909 は、決められた範囲を超えてデータを書き込んでしまう境界外書き込みに起因します。また、V8 JavaScript エンジンにおける CVE-2026-3910 は、メモリバッファ操作時の不適切な制約に起因します。これらのバグにより、攻撃者が用意した特殊なページをブラウザで読み込むだけで、メモリの状態を意図せず書き換えられ、最悪の場合は任意のコード実行に至る恐れがあります。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.