| 読了時間:約8分
Google Chromeに、すでに悪用されている脆弱性が見つかった。
2026年2月13日、Googleは緊急アップデートを公開している。
30億人以上が使うブラウザで、修正パッチより先に攻撃が始まっていた。
この記事でわかること
Chromeに「今すぐ更新」が必要なゼロデイ脆弱性が見つかった
脆弱性の名前はCVE-2026-2441。CSSの処理に関わるメモリの不具合で、深刻度は「High」と評価された。
Googleの公式発表によると、CSSの処理に関わる部分にメモリの不具合がある。
深刻度は4段階中で上から2番目の「High」と評価された。
📰 窓の杜の報道
窓の杜の報道によると、修正パッチが提供される前に悪用が確認された脆弱性、いわゆるゼロデイ脆弱性に対処するための緊急アップデートだ。
ゼロデイとは、開発者が脆弱性を知ってから修正までの猶予が「0日」というニュアンスの言葉だ。
つまり、直す前に攻撃者が先に穴を見つけて使い始めている。
自動更新を待っているだけでは間に合わない場面がある。
CSSが攻撃の入り口になる? use-after-freeの仕組み
「CSSって、文字の色や配置を変えるだけでしょ?」と思うかもしれない。この思い込みが、今回の脆弱性をわかりにくくしている。
CSSはたしかにWebページの見た目を整える仕組みだ。
でも、ブラウザの内部では、CSSを処理するためにメモリを使っている。
メモリとは、パソコンの「作業机」のようなもの。
Chromeはフォント情報を処理するとき、机の上にデータを広げ、終わったら片づける。
今回の問題は、片づけたはずのデータにもう一度アクセスしてしまうバグだ。
この種のバグをuse-after-free(解放済みメモリの使用)と呼ぶ。
💡 核心ポイント
CSSは「見た目を整えるだけの安全な仕組み」ではなくなった。メモリ操作を通じて、攻撃の入り口になりうる。
Malwarebytesの解説によると、根本原因はCSSFontFeatureValuesMapのイテレータ無効化バグだ。
フォント情報の一覧を読みながら、同時にその一覧を書き換えてしまう。
すると、すでに消えたデータを指し示す「迷子のポインタ」が残る。
攻撃者はこの隙をつく。
悪意のあるWebページを開くだけで攻撃が成立する。
SecPodの分析によると、ユーザーがWebページにアクセスする以外の操作は不要だ。
リンクをクリックするだけ。ファイルをダウンロードする必要すらない。
Menlo Securityの分析では「攻撃者は巧みなJavaScriptでCSSの処理を混乱させ、解放済みメモリを上書きする」と説明されている。
上書きに成功すると、サンドボックスの中で任意のコードを動かせる。
🔒 サンドボックスとは?
ブラウザがタブごとに用意する「檻」のようなもの。この中でコードが実行されても、パソコン全体には直接影響しない。
ただし、檻の中でもアカウント情報を盗んだり、表示を改ざんしたりはできる。別の脆弱性と組み合わせれば檻の外に出られるおそれもあるとされている。
自分のChromeは安全? 確認と更新の手順
自分のChromeが安全かどうかは、バージョン番号でわかる。
✅ 安全なバージョン
Windows・macOSなら145.0.7632.75以上、Linuxなら144.0.7559.75以上が安全なバージョンだ。
確認と更新の手順はこの3ステップで終わる。
STEP 1 Chromeの右上にある「︙」(三点メニュー)をクリック
STEP 2 「ヘルプ」→「Google Chromeについて」を選択
STEP 3 自動でバージョン確認と更新が始まる。終わったらChromeを再起動
再起動しないとパッチが反映されない。
ダウンロード完了で安心せず、必ずブラウザを閉じて開き直そう。
Googleの公式ブログによると、通常は自動更新が配信される。
しかし、ブラウザを何日も開きっぱなしにしていると更新が止まる。
「最後にChromeを再起動したのはいつか」を思い出してほしい。
Chromeだけの問題じゃない? Edge・Brave・Operaにも影響
「自分はChromeを使っていないから関係ない」と感じた人もいるだろう。しかし、Edge・Brave・Operaも同じChromiumエンジンで動いている。
Chromiumとは、Googleが開発しているオープンソースのブラウザ基盤だ。
Chromeはその代表格だが、MicrosoftのEdge、プライバシー重視のBrave、Operaもこの基盤をベースにしている。
エンジンが同じなら、同じ脆弱性の影響を受ける。
| ブラウザ | エンジン | 影響 |
|---|---|---|
| Chrome | Chromium | 影響あり・修正済み |
| Edge | Chromium | 影響あり・要確認 |
| Brave | Chromium | 影響あり・要確認 |
| Opera | Chromium | 影響あり・要確認 |
| Firefox | Gecko(独自) | 影響なし |
| Safari | WebKit(独自) | 影響なし |
ITmediaの報道でも「Chromiumを基盤とする複数のWebブラウザやMicrosoft Edge、Brave、Operaなども影響を受ける」と伝えている。
FirefoxはGeckoという別のエンジンを使っている。
SafariもWebKitという独自のエンジンだ。
今回のCSSの処理バグはChromium特有の問題なので、この2つには影響しない。
⚠️ Chromium系ブラウザユーザーへ
Chromium系ブラウザを使っている人は、Chromeと同じく各ブラウザの設定画面から最新版への更新を確認してほしい。
「Edgeは安全だろう」「Braveはセキュリティが強いから大丈夫」という油断は危うい。
エンジンが共通である以上、根っこの問題は同じだ。
ブラウザの「売り」が違っても、土台に穴があれば全員足をとられる。
CISAも警告、Chromeのゼロデイはどこまで深刻か
今回の脆弱性は、米国政府のサイバーセキュリティ機関も動かした。
Forbes Japanの報道によると、CISA(米サイバーセキュリティ・インフラ安全保障庁)は2月17日、CVE-2026-2441をKEVカタログに追加した。
KEVとは「実際に悪用が確認された脆弱性の一覧」で、米連邦機関にはパッチ適用の期限が義務づけられる。
民間企業への法的拘束力はないが、「国が優先対応を求めるレベルの危険度」というシグナルだ。
では、実際の被害はどこまで広がっているのか。
ITmediaの報道によると、大規模なランサムウェア攻撃との直接的な関連は確認されていない。
ただし、KEVへの登録は「実際の攻撃活動が確認されたこと」を意味する。
「まだ大事件になっていない」と「安全」はまったく違う。
📊 ゼロデイの発生頻度
2025年のChromeゼロデイは年間で7件だった。
2026年は開始から約1ヶ月半で最初の1件が出た。
このペースが続くとは限らないが、ゼロデイは年に数回やってくるものだと認識しておきたい。
Menlo Securityの分析では「1つのゼロデイが塞がれると、攻撃者はすぐ次の未公開の穴に移る」と指摘されている。
モグラたたきのようなもので、パッチを当てる側はつねに後追いになる。
更新通知を見たらすぐ動くことが最善の防御になる。
怪しいリンクを開かない。
ブラウザを定期的に再起動する。
この2つだけでも、被害に遭う確率はぐっと下がる。
まとめ
- CVE-2026-2441はChromeのCSS処理に見つかったゼロデイ脆弱性で、すでに悪用されている
- 悪意あるWebページを開くだけで攻撃が成り立つ
- 安全なバージョンはWindows・macOSで145.0.7632.75以上
- Chrome以外のEdge・Brave・Operaも同じエンジンなので影響を受ける
- CISAがKEVカタログに追加し、優先対応を呼びかけている
今すぐChromeの「ヘルプ」→「Google Chromeについて」を開いて、バージョンを確認してほしい。
Chromium系のEdgeやBraveを使っている人も同様だ。
更新が来ていたら、再起動まで忘れずに。
よくある質問(FAQ)
Q1. CVE-2026-2441とは何ですか?
ChromeのCSS処理に見つかったuse-after-free型のゼロデイ脆弱性。深刻度はHigh、すでに悪用が確認されている。
Q2. Chromeを最新バージョンに更新するにはどうすればいいですか?
三点メニュー→ヘルプ→Google Chromeについて、で自動更新が始まる。完了後は必ず再起動する。
Q3. Microsoft EdgeやBraveも影響を受けますか?
はい。Edge・Brave・Operaは同じChromiumエンジンを使っており、同じ脆弱性の影響を受ける。
Q4. Firefoxは影響を受けますか?
Firefoxは独自エンジンGeckoを使用しているため影響を受けない。Safariも同様に影響なし。
Q5. 安全なChromeのバージョンはいくつですか?
Windows・macOSは145.0.7632.75以上、Linuxは144.0.7559.75以上が修正済みバージョン。
Q6. ゼロデイ脆弱性とは何ですか?
開発者が脆弱性を知る前に攻撃者が先に悪用を始めている状態。修正までの猶予が「0日」の脆弱性。
Q7. 悪意あるサイトを開くだけで攻撃されますか?
はい。ファイルのダウンロードは不要で、細工されたWebページにアクセスするだけで攻撃が成立する。
Q8. CISAのKEVカタログへの追加はどういう意味ですか?
米国のサイバー防衛機関が実際の悪用を確認し、連邦機関にパッチ適用を義務づけるレベルの危険度を示す。
Q9. スマホのChromeも影響を受けますか?
本脆弱性はデスクトップ版Chrome 145の緊急アップデートとして公開された。スマホ版の詳細は未確認。
Q10. 自動更新を待つだけでは不十分ですか?
ブラウザを長期間開きっぱなしにしていると更新が適用されないため、定期的な再起動が必要。
リアルタイムニュースNAVI 編集部
最新ニュースをわかりやすく、いち早くお届けします。
📚 参考文献
- Chrome Releases「Stable Channel Update for Desktop」(2026年2月13日)
- Forbes Japan「グーグル、緊急のChrome更新を公開――ゼロデイ悪用を確認」(2026年2月20日)
- ITmedia「Chromiumにゼロデイ脆弱性 悪用コードが流通済みのため急ぎ対処を」(2026年2月21日)
- 窓の杜「リリースされたばかりの『Google Chrome 145』にゼロデイ脆弱性」(2026年2月16日)
- Malwarebytes「Update Chrome now: Zero-day bug allows code execution via malicious webpages」(2026年2月)
- SecPod「Google Addresses Actively Exploited Chrome Vulnerability CVE-2026-2441」(2026年2月)
- Menlo Security「Chrome Zero-Day CVE-2026-2441: The CSS Trap」(2026年2月)
- SitePoint「CVE-2026-2441: When CSS Becomes a Sandbox Escape Vector」(2026年2月)
