CISA Issues Alert on Chrome Zero-Day Under Active Exploitation
2026/04/02 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chrome/Chromium ベース Web ブラウザに影響を及ぼす、深刻なゼロデイ脆弱性に関する緊急警告を発出した。この実環境で積極的に悪用されている脆弱性 CVE-2026-5281 が、CISA の Known Exploited Vulnerabilities (KEV) カタログへ追加された。
この脆弱性は、Chromium ブラウザエンジン内で使用されるオープンソース Web グラフィックス・コンポーネント Google Dawn に起因する。セキュリティ研究者たちは、解放済みメモリ領域へプログラムがアクセスしようとする際に発生する、use-after-free 型のメモリ欠陥であると指摘している。
このメモリ不整合を悪用するサイバー犯罪者たちは、ソフトウェア・クラッシュまたはシステム乗っ取りを引き起こせる。
この脆弱性を悪用する攻撃者は、細工された悪意 Web ページへと被害者を誘導する必要がある。事前にブラウザのレンダラ・プロセスが侵害されている場合には、この攻撃により任意コード実行が可能となる。
その結果として、攻撃者に対して許されるアクションには、対象マシン上での悪意のコマンド実行や、データ窃取やマルウェアの導入などがある。
Google Dawn は Chromium コアフレームワークに組み込まれているため、この脅威は Google Chrome だけに限定されるものではない。Microsoft Edge/Opera/Brave などの Chromium ベース・ブラウザのユーザーも、同様のリスクに晒される。
現時点では、このエクスプロイトとランサムウェア攻撃との関連性は不明である。
CISA は 2026年04月01日に、CVE-2026-5281 を KEV カタログへ追加した。Federal Civilian Executive Branch (FCEB) 機関に対しては、2026年04月15日までのパッチ適用期限が設定されている。
特定の環境においてパッチ適用が不可能な場合には、当該ソフトウェアの使用を一時停止し、潜在的サイバー攻撃を防止することを、CISA は推奨している。
この期限は政府機関向けであるが、CISA は民間企業および一般ユーザーに対しても、同等の緊急性で対応するよう強く推奨している。
安全確保のため、ユーザーおよび管理者は速やかに対応する必要がある。ブラウザ設定を確認し、自動更新を有効化することが必要である。
訳者後書:Google Chrome/Chromium に影響を及ぼすゼロデイ脆弱性 CVE-2026-5281 が、CISA KEV カタログに追加されました。 この問題の原因は、ブラウザのグラフィックス描画を担うコンポーネント Google Dawn のメモリ管理の不備にあります。この欠陥は、use-after-free と呼ばれるものであり、一度解放したはずのメモリ領域を、プログラムが誤って再参照してしまうことで発生します。 この不備を悪用する攻撃者は、細工された Web ページにユーザーを誘導し、ブラウザの異常終了や PC の乗っ取りを引き起こす可能性があります。ご利用のチームは、ご注意ください。よろしければ、Chromium での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.