Chrome のゼロデイ CVE-2026-5281 が FIX：実環境でのアクティブな悪用を確認

New Chrome Zero-Day Vulnerability Actively Exploited in Attacks — Patch Now

2026/04/01 CyberSecurityNews — Google が公開した Chrome ブラウザの緊急セキュリティ・アップデートは、すでに実環境でのアクティブな悪用が確認されているゼロデイ脆弱性に対応するものだ。Windows／Mac 向けのバージョン 146.0.7680.177／178 と、Linux 向けの 146.0.7680.177 が、Stable チャネルで提供されている。このアップデートは、今後の数日から数週間をかけて、すべてのユーザーへ展開される予定である。

このアクティブに悪用されている脆弱性 CVE-2026-5281 は、WebGPU 実装に使用される Dawn の、クロスプラットフォーム GPU 抽象化レイヤにおける use-after-free の欠陥に起因する。

このバグは、解放済みメモリをプログラムが参照し続けることで発生し、攻撃者による任意のコード実行や、ブラウザのサンドボックス・エスケープを引き起こす。

この脆弱性のアクティブな悪用を正式に確認している Google は、「CVE-2026-5281 のエクスプロイトが、実環境で存在することを認識している」と述べている。この欠陥は、2026年03月10日に匿名研究者により発見／報告された。

大多数のユーザーがパッチを適用するまで、この脆弱性の詳細と技術的な情報は公開が制限されている。Google の標準的な対応であり、それによりエクスプロイトの拡散を防ぐとしている。

21件のセキュリティ脆弱性に対するパッチ

前述のゼロデイ対応に加えて、このアップデートでは、合計で 21 件のセキュリティ修正が行われている。それは、異例とも言える修正数であり、Google 内部におけるセキュリティ活動の活発さを示している。そのうちの 19 件は、深刻度 High に分類され、Chrome の広範なサブシステムに影響する。

今回のリリースで修正された主な脆弱性は、以下の通りである：

CVE-2026-5273：CSS における use-after-free
CVE-2026-5272：GPU におけるヒープバッファ・オーバーフロー
CVE-2026-5274：Codecs における整数オーバーフロー
CVE-2026-5275：ANGLE におけるヒープバッファオーバーフロー
CVE-2026-5276：WebUSB におけるポリシー適用不備
CVE-2026-5278：Web MIDI における use-after-free
CVE-2026-5279：V8 におけるオブジェクト破損
CVE-2026-5280：WebCodecs における use-after-free
CVE-2026-5284：Dawn における use-after-free
CVE-2026-5285：WebGL における use-after-free
CVE-2026-5287：PDF における use-after-free
CVE-2026-5288：WebView における use-after-free
CVE-2026-5289：Navigation における use-after-free
CVE-2026-5290：Compositing における use-after-free

Dawn／WebGL／WebCodecs／Web MIDI／WebView／Navigation／Compositing にまたがる use-after-free のバグが示すのは、ブラウザ・レンダリング・パイプラインにおけるメモリ安全性の課題が依然として継続している状況である。

深刻度 High の脆弱性のうちの 3 件は、Google の内部セキュリティ・チームにより報告されており、プロアクティブな脅威ハンティングにより発見されたことが示唆される。

Linux の 146.0.7680.177 未満や、Windows／Mac の 146.0.7680.178 未満を使用している全てのユーザーに、攻撃の影響が及ぶ可能性がある。前述の CVE-2026-5281 が、実環境で悪用されているため、エンタープライズのセキュリティ・チームは、このアップデートを最優先パッチとして扱う必要がある。

Chrome を即時更新するには、Menu (⋮) → Help → About Google Chrome を開いた後に、ブラウザによる自動的なアップデートを確認／適用し、再起動により完了させる。

Chrome をポリシーにより管理している組織は、エンドポイント管理プラットフォームを通じて、遅延なくアップデートを配信する必要がある。

訳者後書：Google Chrome に対する実際の攻撃で悪用されている、深刻な脆弱性を修正する緊急アップデートについて解説する記事です。この脆弱性 CVE-2026-5281 は、最新のグラフィックス技術 WebGPU を実現するためのコンポーネント Dawn における、メモリ管理の不備 (use-after-free) に起因します。今回のアップデートでは、このゼロデイ脆弱性以外にも、GPU／V8 JavaScript／PDF 閲覧機能といった、ブラウザの全域にわたる広範なサブシステムに存在する、合計で 21 件の修正が行われます。その多くが、深刻度 High に分類されており、ブラウザの描画や処理の裏側で、メモリの安全性を保つことの難しさが浮き彫りになっています。