Google – IoT OT Security News

Chrome エクステンション SiderAI／MaxAI に深刻な脆弱性：1,000 万台超の Chrome 環境に影響

Chrome Extensions’ Critical Flaws Let Attackers Easily Compromise Millions of Browsers

2026/06/19 CyberSecurityNews — 人気の Chrome エクステンションである SiderAI と MaxAI に深刻なセキュリティ上の脆弱性が発見され、数百万人のユーザーが危険にさらされている。これらの脆弱性を悪用する攻撃者は、ブラウザ・セッションを完全に乗っ取り、Web サイトやローカル・システム上の機密データにアクセスする可能性がある。

Chrome の検索設定を変更する 23件のエクステンション：SearchJack キャンペーンと 75.8 万人への影響

SearchJack Adware Campaign Exposes 758,000 Users to Privacy and Phishing Risks

2026/06/15 gbhackers — SearchJack と呼ばれる組織的なキャンペーンにより、23件の悪意の Chrome エクステンションが約 75.8 万人に配布され、ユーザーのデフォルト検索設定を密かに乗っ取っている。具体的には、検索結果が返される前に、脅威アクターが管理する収益化ミドルウェアを経由して、検索クエリがルーティングされてしまう。

Google から $500,000 のバグ報奨金を取得：研究者 brutecat の精錬された手法とは？

Researcher Hacked Google Using AI and Earned $500,000 Bug Bounty

2026/06/11 CyberSecurityNews — セキュリティ研究者 brutecat が公表したのは、AI 駆動のファジング・パイプラインを用いることで、Google のインフラ全体にわたる $500,000 以上の報奨金に相当する脆弱性を、3 カ月足らずで発見した手法である。この調査により、約 1,500 の API に潜んでいた体系的なアクセス制御の不備が明らかにされた。

CISA KEV 警告 26/06/09：Google Chromium の脆弱性 CVE-2026-11645 を登録

CISA Issues Alert on Actively Exploited Google Chromium Zero-Day Flaw

2026/06/10 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、悪意の Web コンテンツを通じて任意のコード実行を可能にする、Google Chromium のゼロデイ脆弱性 CVE-2026-11645 について警告を発出した。この脆弱性は Chromium の V8 JavaScript エンジンに影響する境界外読み取りおよび書き込みの問題を含むものであり、CWE-787／CWE-125 に分類される。細工された HTML ページを、ユーザーが閲覧する際にトリガーされる欠陥であり、リモートの攻撃者に対して、ブラウザのサンドボックス内での任意のコード実行を許す可能性がある。

Google Chrome の脆弱性 CVE-2026-11645：実環境での積極的な悪用を確認

Google patches new Chrome zero-day flaw exploited in the wild

2026/06/09 BleepingComputer — 2026年6月8日に Google が公表したのは、Chrome の新たな脆弱性に対処する緊急アップデートのリリースである。このセキュリティ・アドバイザリにおいて、「脆弱性 CVE-2026-11645 に対するエクスプロイトが実環境に存在することを認識している」と、同社は述べている。今年に入ってから修正されたゼロデイは、これで 5 件目となる。

AI が主導する脆弱性発見の現場：FFmpeg の 21 件と Chrome の 429 件が意味するものは？

AI Agent Uncovers 21 Zero-Days in FFmpeg; Chrome Patches Record 429 Bugs

2026/06/06 TheHackerNews — 今週、わずか数日の間に 2 つの出来事が相次いだ。大半の動画関連システムに組み込まれているメディア・ライブラリ FFmpeg において、これまで知られていなかった 21 件の脆弱性を、あるセキュリティ系スタートアップ企業が報告した。これらの脆弱性は、自律型 AI エージェントにより発見されたものである。その一方で Google は、429 件のセキュリティ・バグに対する修正を含む Chrome 149 をリリースした。これは、単一リリースとして過去最多の脆弱性件数である。

Google Gemini の間接プロンプト・インジェクション：Slack／SMS などからペイロードを配信

New Google Gemini Vulnerability Exploited via Prompt Injections from WhatsApp, Slack, and SMS

2026/06/03 CyberSecurityNews — Google Gemini の音声アシスタントを標的とする、新たな間接プロンプト・インジェクション (IPI) 攻撃クラスが発見された。WhatsApp／Slack／Signal／SMS／Instagram／Messenger などの、日常的なメッセージング・アプリを通じて配信される悪意のペイロードにより、AI が密かに乗っ取られる可能性がある。

悪意の Chrome エクステンション 50件以上を検出：Chrome Web Store 審査を巧妙に回避

50+ Malicious Chrome Extensions Hit 30K Users

2026/06/03 gbhackers — ライブ壁紙ユーティリティを装う、50 件以上の悪意の Chrome エクステンションが検出された。それらは、ブラウザ挙動を乗っ取り、約 30,000 人のユーザーに対してリモート HTML コンテンツを密かに配信する、アドウェア運用を行っていたことが判明した。これらのエクステンションは、少なくとも 3 つの発行者アカウントを通じて配布され、Chrome Web Store およびサードパーティのダウンロード・ポータルで、アニメーション壁紙やビジュアル・タブページとして提供されていた。

Google が防御プラットフォームに AI を活用：フロンティア AI による脅威への対策を推進

Google’s Defense Platform Leans on AI to Protect Against Fountier AI Threats

2026/05/28 securityboulevard — Anthropic のフロンティア AI モデル Claude Mythos Preview の台頭により、脆弱性が発見されてから攻撃者がエクスプロイトを投入するまでの時間が、急速に縮小していることが注目されている。こうしたモデルは、セキュリティ欠陥を迅速に発見し、それに対するエクスプロイトを高速に生成できる能力を備えている。

Google Chrome の大規模セキュリティ更新：Critical 脆弱性 22 件を含む 151 件を修正

Google Patches 151 Vulnerabilities in Chrome, Including 22 Critical Ones

2026/05/28 CyberSecurityNews — Google は Chrome Stable の大規模アップデートを公開し、コアとなるグラフィックス／ネットワーク／メディア／UI コンポーネントに影響を与える 22 件の Critical 脆弱性を含む、合計 151 件のセキュリティ脆弱性を修正した。 Stable チャネルは、Windows 向けの 148.0.7778.216／217、macOS 向けの 148.0.7778.215／216、Linux 向けの 148.0.7778.215 が提供されており、今後の数日から数週間にわたり詳細情報が段階的に展開される予定である。

Gemini CLI インスタンスをジェイルブレイク：5 年間にわたるロシアン・ハッカーの活動とは？

Russian Hacker Used Jailbroken Gemini to Steal Admin Credentials and Drain Crypto Wallets

2026/05/25 CyberSecurityNews — Google Gemini のジェイルブレイク済みのインスタンスが、5 年間のキャリアを持つロシア語話者の脅威アクターにより、ほぼゼロというコストで悪用されてきたことが判明した。この脅威アクターは窃取した API キーを用いることで、MAGA テーマへの影響工作や、WordPress 管理者の認証情報の解読に加えて、少なくとも 1人の被害者の暗号資産ウォレットから資金を窃取した。

Google API Key の削除には 23 分を要する：設計上の特性と運用上のリスク　

Deleted Google API Keys Remain Active up to 23 Minutes, Study Finds

2026/05/21 hackread — 削除された Google API keys が、23分間にわたって有効であり続け、その後の認証に成功する可能性があることが、Aikido Security の新たな調査により明らかになった。この調査結果は、10回の制御試験を 2日間にわたり実施して得られたものである。

Chrome 148.0.7778.178／179 が公開：タイプ・コンフュージョン／解放後メモリ使用を修正

Critical Chrome Vulnerabilities Enable Remote Code Execution Attacks – Patch Now!

2026/05/21 CyberSecurityNews — Google が、Chrome 向けの緊急セキュリティ・アップデートを公開した。合計で 16 件の脆弱性が修正されたが、そのうちの 2 件は Critical と評価され、影響を受けるシステム上での任意のコード実行を可能にするものだ。Stable チャネルでは、Windows／Mac 向けの 148.0.7778.178／179 と、Linux 向けの 148.0.7778.178 が提供されており、今後の数日以内にロールアウトが完了する見込みである。

Google Chrome の脆弱性 79件が FIX：Critical 14 件 High 38件

79 Chrome Vulnerabilities Patched, Including 14 Critical One’s – Update Now!

2026/05/15 CyberSecurityNews — Google は Chrome ブラウザの 79件の脆弱性を修正し、攻撃者による悪用を緩和した。そのうち 14件は Critical に分類されており、未修正のバージョンで Web を閲覧すると、システム全体への深刻なサイバー攻撃に至る可能性がある。最新の stable リリースでは、Windows／Mac 向けの 148.0.7778.167／168 と、Linux 向けの 148.0.7778.167 が提供されている。

Google Chrome 148 がリリース：3件の Critical を含む 127 件の脆弱性を修正

Google Chrome 148 Released with Fix for 127 Security Vulnerabilities – Update Now!

2026/05/07 CyberSecurityNews — Google は Windows／Mac／Linux 向け Chrome 148 を Stable チャネルとして正式にリリースし、 Linux 向けのバージョン 148.0.7778.96 と、 Windows／Mac 向けの 148.0.7778.96／97 を公開した。このリリースは、単一のアップデートにより 127 件のセキュリティ脆弱性を修正するものだ。近年の Chrome において、特にセキュリティ対策が強化されたリリースの 1 つとなる。修正された 127 件の脆弱性のうち、3 件は深刻度 Critical であり、20 件以上が High に分類される一方、多数が Medium と Low に分類されている。

Google 正規メールを装う高度なフィッシング攻撃：Facebook ユーザー 30,000 人以上に被害

Google AppSheet Exploited in 30,000-User Facebook Phishing Operation

2026/05/02 hackread — Google のインフラを悪用して、Facebook アカウントを乗っ取る大規模なフィッシング攻撃が、Guardio Labs のサイバー・セキュリティ研究者により発見された。この調査により明らかになったのは、ベトナムとの関連が指摘されるコードネーム AccountDumpling と呼ばれる攻撃者の存在であり、すでに世界中の 30,000 人以上のユーザーに被害を及ぼしている。

Chrome エクステンション 82 件で確認された情報収集モデル：QVI という名で650 万ユーザーに影響

82 Chrome Extensions Found Selling User Data, 6.5 Million Users Affected

2026/04/29 hackread — 多くのユーザーに見られる傾向として、ブラウザ・エクステンションの安易なインストールが挙げられる。最近のインシデントが示すとおり、LayerX Security の新たな調査結果である Enterprise Browser Extension Security Report 2026 が指摘するのは、多数のエクステンションが個人データを収集し、第三者へ販売しているという事実である。

Google Gemini CLI の RCE 脆弱性 CVE-N/A が FIX：サプライチェーン・セキュリティに懸念

Critical Gemini CLI Flaw Raises Supply Chain Security Concerns

2026/04/27 gbhackers — Google が公開したのは、Gemini CLI と関連する GitHub Actions における、深刻な脆弱性へ対処するための緊急のセキュリティ更新である。この脆弱性 GHSA-wpqr-6v78-jr5g (CVSS 10.0) により、CI/CD (Continuous Integration and Continuous Deployment) パイプラインがリモート・コード実行 (RCE) 攻撃の危険にさらされる。この問題は、ワークスペースの信頼設定およびツール許可リスト処理の不備に起因し、自動化ワークフローの侵害を可能とするものである。それにより、サプライチェーン・セキュリティに関する深刻な懸念が引き起こされる。

Google Gemini の方向性は汎用化：Mythos のようなフロンティア・モデルは計画していない

Google Favors General-Purpose Gemini Models Over Cybersecurity‑Specific AI

2026/04/24 InfoSecurity — Google Cloud の運用責任者は、Anthropic の Claude Mythos のようなサイバー・セキュリティに特化したフロンティア・モデルを、別系統でリリースする計画はないと述べている。Google の考え方は、Gemini 3.1 Pro などの高品質な汎用 AI モデルが、すでに十分な性能を持ち、サイバー・セキュリティ要件に対応可能であるというものだ。

Chrome の Critical 脆弱性 5 件が FIX：サンドボックス回避による RCE などの可能性

Critical Chrome Vulnerabilities Let Attackers Execute Arbitrary Code – Update Now!

2026/04/16 CyberSecurityNews — Google が公開した Chrome ブラウザの重要なセキュリティ・アップデートは、システムを深刻なサイバー脅威に晒す可能性のある、31 件の脆弱性に対応するものだ。最も深刻な 5 件の Critical 脆弱性は、対象システム上での任意のコード実行を可能にするため、すべてのユーザーに求められるのは、2026年04月15日に公開された Stable Channel アップデートの適用となる。

Google／Microsoft／Meta のプライバシー違反：オプトアウト後のユーザー・トラッキングに批判

Google, Microsoft, Meta Accused of Tracking Users Even After Privacy Opt-Out

2026/04/15 gbhackers — Google／Microsoft／Meta などの主要テクノロジー企業によるユーザー追跡が、データ共有に対する明示的なオプトアウト後も継続していることが、プライバシー技術企業 webXray による独自監査により明らかになった。この結果が示唆するのは、California Consumer Privacy Act (CCPA) に対する産業規模での大規模な非準拠であり、これら企業および Web サイト運営者に対して、数十億ドル規模の法的責任リスクが生じる可能性がある。この調査により判明したのは、ユーザーがプライバシー保護機能を有効化した後も、Web サイトの 55 % が広告クッキーを設定し続けていたことだ。

108 個の悪意の Chrome エクステンション：共有 C2 インフラによる大規模キャンペーンを発見

Hackers Use 108 Chrome Extensions to Steal User Data Through Shared C2 Infrastructure

2026/04/14 CyberSecurityNews — 悪意の Google Chrome エクステンション 108個を用いる、大規模なサイバー・スパイ・キャンペーンが確認された。Socket の最新レポートによると、これらのエクステンションは機密ユーザー・データの窃取およびアクティブな Web セッションの乗っ取りを目的として設計されている。この大規模なオペレーションは、攻撃者たちに共有される Command and Control (C2) インフラで管理されている。

Gmail のモバイル・セキュリティを強化：モバイル暗号化機能をエンタープライズ向けに拡張

Google Extends Gmail Encryption to Mobile, but Limits Access to Enterprise Tier

2026/04/10 SecurityBoulevard — Google は Gmail の暗号化機能をモバイル端末へ拡張し、エンタープライズ・ユーザーの Android／iOS のプラットフォームにおいて、アプリ内での暗号化メールの送受信を可能にした。このアップデートにより、モバイル環境でのネイティブ暗号化を阻んでいた制約が解消された。

Chrome 147 がリリース：Critical 脆弱性 CVE-2026-5858／5859 などを FIX

Critical Chrome Vulnerabilities Let Attackers to Execute Arbitrary Code

2026/04/10 CyberSecurityNews — Google は Chrome の複数のセキュリティ脆弱性を修正し、Windows／Mac／Linux 向けの Chrome 147 として安定版チャネルへ公開した。このリリースには、リモート攻撃者による任意コード実行を可能とする 2 件の深刻な脆弱性への対応が含まれる。最も深刻な脆弱性 CVE-2026-5858／CVE-2026-5859 は、いずれも Critical と評価され、それぞれに対して $43,000 のバグバウンティが提供されている。

CISA KEV 警告 26/04/01：Chrome／Chromium の脆弱性 CVE-2026-5281 を登録

CISA Issues Alert on Chrome Zero-Day Under Active Exploitation

2026/04/02 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chrome／Chromium ベース Web ブラウザに影響を及ぼす、深刻なゼロデイ脆弱性に関する緊急警告を発出した。この実環境で積極的に悪用されている脆弱性 CVE-2026-5281 が、CISA の Known Exploited Vulnerabilities (KEV) カタログへ追加された。

Chrome のゼロデイ CVE-2026-5281 が FIX：実環境でのアクティブな悪用を確認

New Chrome Zero-Day Vulnerability Actively Exploited in Attacks — Patch Now

2026/04/01 CyberSecurityNews — Google が公開した Chrome ブラウザの緊急セキュリティ・アップデートは、すでに実環境でのアクティブな悪用が確認されているゼロデイ脆弱性に対応するものだ。Windows／Mac 向けのバージョン 146.0.7680.177／178 と、Linux 向けの 146.0.7680.177 が、Stable チャネルで提供されている。このアップデートは、今後の数日から数週間をかけて、すべてのユーザーへ展開される予定である。

Google Drive のランサムウェア対策：脅威の検知／ファイルの復元が正式提供

Google Introduces Advanced Ransomware Defense and Recovery Features in Drive

2026/03/31 gbhackers — Google が公表したのは、Google Drive 向けのランサムウェア検知／ファイル復元の機能を、ベータ版から正式版へと移行し、グローバルに提供を開始したことだ。これらのセキュリティ機能は、個人／企業のエンドポイントに対するマルウェア攻撃の破壊的影響を最小化することを目的として設計されたものであり、2025年09月の時点でベータ提供が開始されていた。

Google Gemini 搭載のダークウェブ監視 AI を公開：プロアクティブな脅威プロファイリングを開始

Google Unleashes Gemini AI to Scour Dark Web for Corporate Threats

2026/03/24 SecurityBoulevard — Google が発表したのは、新たなダークウェブ・インテリジェンス・サービスであり、地下犯罪フォーラムに対する監視の負担軽減を目的とするものだ。このサービスは、多大な工数を要する監視作業に対処するために設計されている。Google は、Gemini を搭載した人工知能 (AI) エージェントを活用し、1日あたり 1,000 万件以上の投稿を解析／精査している。これにより、従来のキーワード・ベースの旧式システムを置き換え、脅威のコンテキストを理解するプラットフォームの提供が可能になるという。

Google Chrome の脆弱性 8件が修正：リモート・コード実行などの可能性

Chrome Security Update Fixes 8 Vulnerabilities That Could Enable Remote Code Execution

2026/03/24 gbhackers — Google が公表したのは、Chrome ブラウザの 8 件の深刻な脆弱性に対処する、重要なセキュリティ・アップデートである。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、潜在的なリモート・コード実行の攻撃からシステムを保護することである。Windows／Mac 向けのバージョン 146.0.7680.164／146.0.7680.165 と、Linux 向けのバージョン 146.0.7680.164 が、数日から数週間の間に Stable チャネルで段階的に提供される予定である。

Google Chrome の 26 件の脆弱性が FIX：リモートコード実行などの深刻な欠陥に対処

Chrome Security Update Fixes 26 Vulnerabilities Enabling Remote Malicious Code Execution

2026/03/20 gbhackers — Google が公開したのは、デスクトップ向け Web ブラウザ Chrome に関する重要なセキュリティ更新プログラムである。この更新は、リモートコード実行などの恐れのある 26 件の脆弱性に対処するものだ。Windows／macOS 向けのバージョン 146.0.7680.153／146.0.7680.154、Linux 向けのバージョン 146.0.7680.153 が、Stable チャネルで提供される。この大規模なパッチは、今後の数日から数週間にかけて段階的に展開され、深刻なメモリ破損脆弱性に対する重要な防御を提供する。ユーザーに対して強く推奨されるのは、自動ダウンロード後のブラウザの再起動により、セキュリティ対策を確実に適用し、完全な保護を確保することだ。

CISA KEV 警告 26/03/13：Google Skia／V8 JavaScript の脆弱性 CVE-2026-3909／3910 を登録

CISA Alerts Users to Exploited Chrome 0-Day Flaws

2026/03/17 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、きわめて深刻なゼロデイ脆弱性 CVE-2026-3909／CVE-2026-3910 について緊急警告を発表した。これらの脆弱性は、Google Chrome と基盤技術に影響を与え、実環境において現在進行形で悪用されている。そのため CISA は、2 件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦機関に対して即時パッチ適用を義務付けるとともに、民間組織にも同様の対応を強く推奨している。

Google Looker Studio の脆弱性 9 件が FIX：2 種類の認証モードと 2 種類の攻撃経路

Google Looker Studio Vulnerabilities Allow Attackers to Exfiltrate Data from Google Services

2026/03/16 CyberSecurityNews — Google Looker Studio に存在し、LeakyLooker と総称される合計 9 件のクロス・テナント脆弱性が明らかにされた。任意 SQL クエリを実行する攻撃者により、機密データの流出が引き起こされ、さらには Google Cloud 環境内のレコードの変更／削除に至る可能性があった。これらの攻撃は、被害者による明示的な許可を必要とせずに実行可能であった。Tenable からの責任ある開示を受けた Google は、すべての問題を修正している。

Chrome 2件のゼロデイ CVE-2026-3909／3910 が FIX：実環境での悪用を確認

Two Newly Discovered Chrome Zero-Days Exploited in the Wild to Run Malicious Code

2026/03/12 gbhackers — Google が公表したのは、Chrome デスクトップ・ブラウザに存在する 2 件の深刻なゼロデイ脆弱性に対する、緊急セキュリティ・アップデートである。それらの脆弱性 CVE-2026-3909／CVE-2026-3910 は、いずれも深刻度 High に分類されており、実際の攻撃での悪用が確認されている。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、コード実行やシステム侵害から保護することだ。

Google が Chrome 146 を正式リリース：リモート・コード実行などの 29 件の脆弱性を修正

Chrome Security Update – Patch for 29 Vulnerabilities that Allow Remote Code Execution

2026/03/12 CyberSecurityNews — Google は Chrome のバージョン 146 を正式リリースし、Windows／Mac／Linux ユーザー向けのステイブル・チャネルでアップデートの提供を開始した。今後の数日以内に展開されるのは、Linux 向け Chrome 146.0.7680.71、Windows／Mac 向け 146.0.7680.71 および 146.0.7680.72 であり、29 件のセキュリティ脆弱性に対処するものだ。これらの脆弱性が、修正されないまま放置されると、リモート攻撃者による任意コード実行／システム整合性の侵害／サービス拒否 (DoS) を招く恐れがある。

AI ツールを装う Chrome エクステンション：企業データを大量収集していると Microsoft が警告

Microsoft: Fake AI Extensions Breached Chat Histories in 20,000+ Enterprise Tenants

2026/03/09 gbhackers ‐‐‐ 正規の AI アシスタント・ツールを装う、悪意の Chromium ベースのブラウザ・エクステンションの大規模な配布を、Microsoft が確認し、警告を発している。ChatGPT や DeepSeek に関連する一連のエクステンションは、Chrome Web Store で公開され、Google Chrome／Microsoft Edge の両方に対応している。しかし実際には、ブラウザ内の機密データおよび AI チャット内容を秘密裏に収集するものである。

Google Chrome の 10 件の脆弱性が FIX：3 件の Critical と 7 件の High

Google Releases Emergency Chrome Update to Fix 10 Security Vulnerabilities

2026/03/05 CyberSecurityNews — Google が公開したのは、Chrome 向けの重大なセキュリティ・アップデートであり、Windows／Mac 向けの 145.0.7632.159/160 と Linux 向けの 145.0.7632.159 が、すでに Stable チャネルでリリースされている。このアップデートでは 10 件の脆弱性が修正され、そのうちの 3 件は Critical と評価されている。今後の数日から数週間をかけて、順次展開されるという。

Google Chrome のポスト量子戦略：デジタル証明書の新たな仕組みとアーキテクチャの再設計

Chrome Unveils Plan For Quantum-Safe HTTPS Certificates

2026/03/03 InfoSecurity — Google の Chrome チームが開始したのは、量子コンピュータによる将来の脅威から HTTPS 接続を保護するための、新たな取り組みである。この取り組みは、Web の速度を低下させることなく量子コンピュータ攻撃に耐えるための、デジタル証明書の新たな仕組みとアーキテクチャの再設計を目的としている。

Chrome の脆弱性 CVE-2026-3061／3062／3063 が FIX：深刻度 High のメモリ破壊

Google Chrome Emergency Security Update Patches Three High-Severity Vulnerabilities

2026/02/24 CyberSecurityNews — Google が公開したのは、Chrome ブラウザ向けの緊急セキュリティ更新である。Windows／macOS 向けにバージョン 145.0.7632.116／145.0.7632.117 が提供され、Linux 向けにバージョン 145.0.7632.116 が提供される。このアップデートは、重大リスクをもたらす 3 件の高深刻度の脆弱性 CVE-2026-3061／3062／3063 に対処するものであり、今後の数日から数週間にかけ段階的に展開される。

Google Antigravity AI が OpenClaw ユーザーを排除：OAuth プラグインと異常トラフィック

Google Suspends OpenClaw Users from Antigravity AI After OAuth Token Abuse

2026/02/23 CyberSecurityNews — Google はオープンソース・ツール OpenClaw のユーザーに対して、同社の Antigravity AI プラットフォームへのアクセスを停止した。この措置に対して、利用規約 (ToS：Terms of Service) の強硬な適用だとする反発が高まっている。対象となったのは、OpenClaw の OAuth プラグインを利用して、補助付きの (subsidized) Gemini モデル・トークンへアクセスしていた開発者たちである。それにより、バックエンドの負荷急増とサービス劣化が引き起こされていた。

Google Chrome のゼロデイ脆弱性 CVE-2026-2441：PoC 公開と実環境での悪用の確認

PoC Released for Critical Chrome 0-day Vulnerability Exploited in the Wild

2026/02/20 CyberSecurityNews — Google が公開したのは、Chrome の Blink CSS エンジンに存在する深刻な use-after-free のゼロデイ脆弱性 CVE-2026-2441 に対する Proof-of-Concept (PoC) エクスプロイトの情報である。Google は、この脆弱性が実環境で積極的に悪用されていることを確認している。この欠陥は、2026年2月11日にセキュリティ研究者 Shaheen Fazim により報告されたものであり、その 2 日後に Google は緊急パッチで対応している。 2026年における、最初の Chrome ゼロデイ脆弱性は、Chrome の Blink CSS エンジン内の CSSFontFeatureValuesMap コンポーネントに存在する。

ChatGPT／Claude を装う悪意の Chrome AI エクステンション：26 万人に影響を及ぼす大規模監視キャンペーンを検出

Malicious Chrome AI Extensions Attacking 260,000 Users via Injected IFrames

2026/02/13 CyberSecurityNews — ChatGPT／Claude／Gemini／Grok などの人気 AI ツールを装う悪意の Chrome エクステンションが、組織的な協調キャンペーンを介して配布されている。これらの偽 “AI アシスタント” は、有用なブラウザ・エクステンションを装いながら、リモートからの操作が可能な iframe を注入してユーザーを監視する悪意のツールである。これらのエクステンションは、26 万人以上のユーザーにインストールされている。

Chrome 145 アップデート：コード実行などを引き起こす複数の深刻な脆弱性に対応

Chrome Security Update – Patch for Vulnerabilities that Enables Code Execution Attacks

2026/02/12 CyberSecurityNews — Google が公表したのは、ユーザー・システム上で悪意のコード実行を引き起こす 11 件のセキュリティ脆弱性を修正した Chrome 145 を、Windows／Mac／Linux 向けの Stable チャネルでリリースしたことである。このアップデートは、今後の数週間をかけて順次展開されるが、複数の深刻な修正を含むため、即時の対応が推奨される。最も深刻な脆弱性 CVE-2026-2313 は、CSS における use-after-free 脆弱性であり、発見者には $8,000 の報奨金が支払われた。