iPhone/Androidスマホやキャッシュレス決済、SNS、アプリに関する情報サイト スマホライフPLUS
スマホライフPLUS > パソコン・ITニュース > 悪意あるページを開くだけでアウト? Chrome"ゼロデイ攻撃"の怖い仕組み
New

悪意あるページを開くだけでアウト? Chrome”ゼロデイ攻撃”の怖い仕組み

(文=スマホライフPLUS編集部)

「ブラウザのアップデートなんて、後回しでいいでしょ」──そう思っていませんか? 残念ながら、今回ばかりはその”後回し”が命取りになりかねません。

2026年3月15日、Googleがわずか48時間で2度目となる緊急セキュリティアップデートをChromeに対してリリースしました。原因は、すでに攻撃者に悪用されている2件の「ゼロデイ脆弱性」。全世界で約35億人いるとされるChromeユーザー全員が、今すぐ対応を求められています。

Google Chromeのアイコンと「緊急セキュリティアップデート」の警告バナーのイメージ画像
(画像はスマホライフPLUS編集部作成)

そもそも「ゼロデイ脆弱性」って何がヤバいの?

セキュリティの世界で「ゼロデイ(zero-day)」とは、開発元すら把握していない状態で、すでに攻撃に使われている弱点を指します。つまり、防御側の準備が「0日」というわけです。通常の脆弱性であれば「弱点発見→修正パッチ配布→ユーザーが更新」という流れで対処できますが、ゼロデイの場合は修正パッチが出る前から攻撃が始まっているため、ユーザーは無防備な状態で晒されることになります。

今回報告されたのは、CVE-2026-3909CVE-2026-3910の2件。どちらも深刻度が「高(High)」と評価されており、Chromeの心臓部ともいえるコア技術に関わる問題です。

2つの脆弱性、それぞれの「攻撃シナリオ」を噛み砕く

CVE-2026-3909:画面描画エンジン「Skia」の穴

1つ目は、Chromeがウェブページや画面を描画するために使っているグラフィックライブラリ「Skia」に存在する、メモリの境界外読み書き(out-of-bounds)の問題です。

ざっくり言えば、悪意のあるWebページを表示するだけで、攻撃者があなたのPC上でプログラムを実行できてしまう危険性があります。フィッシングメールのリンクをクリックした、SNSで流れてきたURLを何気なく開いた──そんな日常の操作が入口になり得ます。

CVE-2026-3910:JavaScriptエンジン「V8」への侵入

2つ目は、ChromeのJavaScript実行エンジン「V8」の実装不備です。V8はWebページ上のあらゆる動的な処理を担っており、ハッカーにとっては昔から格好の標的でした。

今回の脆弱性では、細工されたHTMLページを通じて、サンドボックス内で任意のコードを実行される恐れがあります。「サンドボックス内だから大丈夫」と油断は禁物で、他の脆弱性と組み合わせることで被害が拡大するケースは珍しくありません。

米政府機関CISAも異例の「即時対応」要請

事態の深刻さを物語るのが、アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)の動きです。CISAは今回の2件を「既知の悪用された脆弱性(KEV)」カタログに追加し、連邦政府機関に対して21日以内の修正を義務付ける指令を発動しました。

さらにCISAは、政府機関だけでなく「すべての組織」に対してもChromeの更新を最優先事項にするよう強く推奨しています。過去の調査では、実際に攻撃に悪用された脆弱性は全体のわずか4%未満。裏を返せば、KEVカタログに載るということは「本当に狙われている、今そこにある危機」であることの証明です。

「Chromeは脆弱性が多いから危険」は本当か?

こうしたニュースを見ると「Chromeってそんなに穴だらけなの?」と不安になるかもしれません。しかし、実態はむしろ逆です。

Googleは2014年に設立した精鋭セキュリティチーム「Project Zero」を擁し、自社製品だけでなく他社のソフトウェアの脆弱性まで調査しています。さらに、外部研究者向けの脆弱性報奨金プログラム(VRP)はこれまでに累計約8,160万ドル(約122億円)を支払い、2025年だけでも1,700万ドル超がセキュリティ研究者に渡りました。Chrome関連だけでも100人以上の研究者に約370万ドルが報奨されています。

脆弱性の数が多いのは「それだけ多くの専門家の目が光っている証拠」であり、むしろ発見されず放置されている脆弱性の方がはるかに危険です。報奨金制度のないブラウザよりも、Chromeのほうがセキュリティ対応のサイクルが圧倒的に速いことは覚えておいて損はありません。

まとめ

Googleはすでにセキュリティアップデート(バージョン134.0.6998.117/.118)の配信を開始していますが、全ユーザーに届くまでには「数日〜数週間」かかるとされています。さらに、ダウンロードされただけでは適用されず、ブラウザの再起動が必要という点も見落とされがちです。

手順はシンプルです。

  1. Chromeの右上にある「︙(三点メニュー)」をクリック
  2. 「ヘルプ」→「Google Chromeについて」を選択
  3. 自動でアップデートの確認・ダウンロードが始まる
  4. 完了後、「再起動」ボタンを必ずクリック

この操作にかかる時間は、ほんの30秒。それだけで、すでに悪用が確認されている2つの攻撃経路を塞ぐことができます。「あとでやろう」ではなく、この記事を読んだら、まずChromeのバージョンを確認してください。

※記事内の情報は2026年3月15日時点のものです。最新の状況はGoogle公式のChrome Releasesブログでご確認ください。

【出典:Forbes

※サムネイル画像はスマホライフPLUS編集部が作成したものです。

スマホライフPLUS編集部

スマホライフPLUS編集部

スマホライフPLUSは、スマホやデジタルサービスを活用するための情報を提供するITメディアです。
iPhone・Androidの便利な使い方、SNSの活用術、キャッシュレス決済、ネット銀行、金融アプリなど、日常生活に役立つテクニックやお得な情報を紹介・レビューしています。スマホが欠かせない時代に、より賢く活用するためのヒントを独自の視点から発信しています。

悪意あるページを開くだけでアウト? Chrome”ゼロデイ攻撃”の怖い仕組みのページです。スマホライフPLUSは、【パソコン・ITGoogleChrome】の最新ニュースをいち早くお届けします。