Chrome緊急アップデート、21件の脆弱性を修正——すでに悪用も

2026年3月31日、Googleはウェブブラウザ「Chrome」の緊急セキュリティアップデートをリリースしました。このアップデートでは合計21件の脆弱性が修正されており、Googleによれば、その一部はすでに悪用されているとのことです。世界中で最も広く使われるブラウザの一つであるChromeのセキュリティアップデートは、すべてのユーザーにとって重要な意味を持ちます。

アップデートの詳細と修正された脆弱性

記事によると、GoogleはWindowsおよびmacOS向けに「Chrome 146.0.7680.178」「同146.0.7680.177」、Linux向けに「同146.0.7680.177」をリリースしました。このアップデートで修正された脆弱性は21件に上ります。

重要度は4段階で評価されており、最も深刻な「クリティカル（Critical）」に分類される脆弱性は今回含まれていません。しかし、2番目に高い「高（High）」と評価された脆弱性が19件も修正されています。残りの2件は、重要度が「高」よりも低いものと推測されます。

主な脆弱性の種類と悪用の可能性

修正された脆弱性の具体的な内容として、記事は以下の例を挙げています。

• Use After Free（解放後使用）：CSS、PDF、WebView、Navigationなどの機能に関連する複数の脆弱性（CVE-2026-5273、CVE-2026-5287、CVE-2026-5288、CVE-2026-5289）。これは、メモリを解放した後もその領域を参照してしまうバグで、プログラムのクラッシュや任意のコード実行につながる可能性があります。
• ヒープバッファオーバーフロー：GPUの処理における脆弱性（CVE-2026-5272）。バッファ（データを一時的に格納する領域）の境界を超えてデータを書き込んでしまうことで、メモリ破壊を引き起こす可能性があります。
• オブジェクト破損：ChromeのJavaScriptエンジン「V8」における脆弱性（CVE-2026-5279）。

最も重要な点は、これらの脆弱性の一部がすでに悪用されていると報じられていることです。これは「概念実証（PoC）コードが公開された」という段階を超え、実際の攻撃に利用されている可能性を示しており、ユーザーにとっての緊急性が非常に高いことを意味します。

ユーザーが取るべき即時対応

このような緊急アップデートが発表された場合、ユーザーが取るべき最優先の行動は、ブラウザを最新版に更新することです。一般的に、Chromeは自動更新機能を備えていますが、再起動が必要な場合や、設定によって更新が保留されている可能性もあります。

更新を確認する方法は、Chromeのメニュー（画面右上の縦三点リーダー）から「ヘルプ」＞「Google Chromeについて」を選択します。この画面で自動的に更新のチェックが行われ、最新版があればダウンロードとインストールが開始されます。インストール後はブラウザの再起動が必要です。

企業のシステム管理者は、管理下にあるすべての端末のChromeが確実に更新されていることを確認する必要があります。更新が遅れた1台が内部ネットワークへの侵入経路となるリスクがあるためです。

定期的なアップデートの重要性

今回のアップデートは、ソフトウェアのセキュリティ維持において「定期的な更新」がいかに重要かを改めて示す事例です。Chromeに限らず、オペレーティングシステム（OS）やアプリケーションは、新たに発見された脆弱性を修正するためのアップデートを頻繁にリリースしています。

これらのアップデートは、単に新機能を追加するためだけではなく、ユーザーを既知の脅威から守るための「セキュリティパッチ」としての側面が強くなっています。更新を先延ばしにすることは、ドアの鍵をかけずに外出するようなものと言えるでしょう。特に、今回のように「悪用が確認されている」と公表されたケースでは、迅速な対応が個人情報や資産を守る直接的な行動となります。