CISA Issues Alert on Actively Exploited Google Chromium Zero-Day Flaw
2026/06/10 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、悪意の Web コンテンツを通じて任意のコード実行を可能にする、Google Chromium のゼロデイ脆弱性 CVE-2026-11645 について警告を発出した。この脆弱性は Chromium の V8 JavaScript エンジンに影響する境界外読み取りおよび書き込みの問題を含むものであり、CWE-787/CWE-125 に分類される。細工された HTML ページを、ユーザーが閲覧する際にトリガーされる欠陥であり、リモートの攻撃者に対して、ブラウザのサンドボックス内での任意のコード実行を許す可能性がある。
Google Chromium のゼロデイ脆弱性
CISA によると、この脆弱性は実際の攻撃での積極的な悪用が確認されており、2026年6月9日に Known Exploited Vulnerabilities (KEV) カタログへ追加されている。攻撃チェーンについては詳細が伏せられているが、KEV カタログへの追加は、組織およびユーザーにとって高いリスクを示している。
この問題は Google Chrome/Microsoft Edge/Opera などを含む、Chromium フレームワーク上に構築されたすべてのブラウザに影響を及ぼす。Chromium が広く採用されていることから、この脆弱性は、企業環境と一般ユーザー環境において広範な攻撃対象領域を持つ。
セキュリティ研究者たちが指摘するのは、V8 における境界外メモリ・アクセスの脆弱性がきわめて危険な点である。その理由として、ブラウザのメモリ構造の操作とセキュリティ・メカニズムの回避を、攻撃者に許す可能性が挙げられている。
現時点では、このエクスプロイトは、サンドボックス環境内で実行されると考えられている。しかし、脆弱性 CVE-2026-11645 とサンドボックス・エスケープの脆弱性を攻撃者が連鎖させると、システム全体の侵害や完全な制御の奪取につながる可能性がある。
CISA は Binding Operational Directive (BOD) 22-01 に基づき、連邦機関に対して 2026年6月23日までにベンダーが提供する緩和策を適用するよう指示している。民間組織に対しても、影響を受けるシステムへの速やかなパッチ適用が強く推奨される。
この記事の執筆時点では、CVE-2026-11645 とランサムウェア攻撃との関連性は確認されていない。しかし、ブラウザに対する攻撃の性質と、標的型攻撃などにおける悪用の経緯を踏まえると、セキュリティチームは、この脆弱性を深刻な脅威として扱うべきである。
ユーザーおよび管理者にとって必要なことは、ブラウザを最新の状態に保ち、自動更新を有効化するとともに、異常なブラウザ挙動や不審な Web アクティビティを監視することである。企業においては、エンドポイント検知ログの確認に加え、予防措置としてのブラウザ分離や追加の Web フィルタリングの導入を検討すべきである。
このインシデントが示すのは、初期侵入経路を狙う脅威アクターにより、Chromium などのブラウザ・エンジンが継続的に標的とされる現実である。Web ブラウザが、個人/企業における主要なインターフェイスであり続ける中、リスクを低減するためには、迅速なパッチ適用とプロアクティブな監視が不可欠である。
訳者後書:Chromium の V8 JavaScript エンジンに存在する、境界外 Read/Write に起因する脆弱性 CVE-2026-11645 が、CISA KEV に登録されました。この脆弱性により、本来はアクセスできないメモリ領域での操作が許される状態にあり、ブラウザの保護機能が回避される可能性があります。特に V8 は、Google Chrome などの Chromium ベースのブラウザで利用されているため、影響範囲が広い点も特徴です。今回の脆弱性は、細工された HTML ページを閲覧するだけで悪用される可能性があり、実際の攻撃で利用されたことから、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加されました。ブラウザ内部のメモリ管理の不備が、任意コード実行につながる典型的なインシデントといえます。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.