本稿では、Googleが米国時間2026年3月31日(日本時間4月1日)にリリースしたChrome緊急セキュリティアップデートで修正されたゼロデイ脆弱性CVE-2026-5281について、技術的な背景と実務上の対処を解説する。本脆弱性は野生で悪用が確認されており、CISAもKnown Exploited Vulnerabilities(KEV)カタログに追加している。
脆弱性の概要
CVE-2026-5281は、Dawn(WebGPU標準のオープンソース・クロスプラットフォーム実装)におけるuse-after-free脆弱性である。深刻度はGoogleの評価でHigh、NVDによるCVSS評価は未提供だが、CISA-ADPではCVSS 3.1ベーススコア8.8(High)が付与されている。
NVDの説明によると、Chrome 146.0.7680.178より前のバージョンにおいて、レンダラプロセスを侵害済みのリモート攻撃者が、細工されたHTMLページを介して任意のコードを実行できる。Googleは「CVE-2026-5281のエクスプロイトが野生に存在することを認識している」と明言した。
攻撃の詳細やアクターについては、ユーザーの大多数がアップデートを適用するまで非公開とするGoogleの通例に従い、現時点では開示されていない。
WebGPUとDawnの位置づけ
Dawnは、Chromiumブラウザ内でWebGPU APIを実装するライブラリである。WebGPUはWebGLの後継にあたる次世代グラフィックスAPIで、GPUの計算リソースに低レベルでアクセスする機能を提供する。グラフィックス処理コンポーネントはパフォーマンス重視のC++で書かれており、信頼されていないWebコンテンツに対して低レベルのコードを露出させる構造が、メモリ安全性バグの温床になりやすい。
今回のuse-after-free脆弱性は、解放済みのメモリにプログラムがアクセスし続けることで発生するメモリ破壊型の欠陥である。攻撃者はメモリレイアウトを制御し、悪意あるコードの実行に転用できる。NVDの記述では「レンダラプロセスを侵害済みの攻撃者」が前提条件とされており、これはChromeのサンドボックスアーキテクチャ内でのエクスプロイトチェーン(レンダリングバグでサンドボックス内に侵入→別のバグでサンドボックスを脱出)を示唆している。
2026年のChromeゼロデイは4件目
CVE-2026-5281は、2026年に入ってからGoogleが修正した4件目の野生悪用ゼロデイである。
- 2026年2月:CVE-2026-2441 ― CSSコンポーネント(CSSFontFeatureValuesMap)のuse-after-free
- 2026年3月:CVE-2026-3909(CVSS 8.8)― Skia 2Dグラフィックスライブラリの境界外書き込み
- 2026年3月:CVE-2026-3910(CVSS 8.8)― V8 JavaScript/WebAssemblyエンジンの不適切な実装
- 2026年4月:CVE-2026-5281 ― Dawn(WebGPU)のuse-after-free(本件)
4件中3件がグラフィックスまたはレンダリングサブシステム(CSS、Skia、Dawn)を標的としている点が特徴的である。ブラウザがWebGPU、WebCodecs、WebTransportなどの高機能APIを追加するにつれ、信頼されていないWebコンテンツに露出するパフォーマンス重視のC++コードの量が増加しており、メモリ安全性バグが構造的に発生しやすくなっている。
また、CVE-2026-5281を報告した研究者は、前回の更新でWebGLのヒープバッファオーバーフロー(CVE-2026-4675)とDawnのuse-after-free(CVE-2026-4676)を、今回の更新でも別のDawn UAF(CVE-2026-5284)を報告しており、Chromeのグラフィックススタックに対する集中的な調査が行われていたことがうかがえる。
CISA KEVカタログへの追加
CISAは2026年4月1日にCVE-2026-5281をKEVカタログに追加した。Binding Operational Directive(BOD)22-01に基づき、連邦民間行政機関(FCEB)は2026年4月15日までに修正を適用する義務がある。CISAはFCEB以外の組織にも、KEVカタログに掲載された脆弱性の迅速な修正を強く推奨している。
修正バージョンと対処手順
Googleは以下のバージョンで修正を提供している。
- Windows / macOS:146.0.7680.177/178
- Linux:146.0.7680.177
アップデートの確認手順は以下のとおり。Chromeを開き、右上のメニュー(三点アイコン)から「ヘルプ」→「Google Chromeについて」を選択する。ブラウザが自動的に更新を確認し、適用後に「再起動」を促す。
今回のアップデートではCVE-2026-5281を含む合計21件の脆弱性が修正されている。ゼロデイ以外にも、CSSのuse-after-free(CVE-2026-5273)、GPUのヒープバッファオーバーフロー(CVE-2026-5272)、ANGLEのヒープバッファオーバーフロー(CVE-2026-5275)、V8オブジェクト破壊(CVE-2026-5279)、PDFのuse-after-free(CVE-2026-5287)など、High評価の脆弱性が多数含まれる。
Chromiumベースの他のブラウザ(Microsoft Edge、Brave、Opera、Vivaldi等)も同じコードベースを共有しているため、各ブラウザベンダーからの修正が利用可能になり次第、適用することが推奨される。
実務視点 ― グラフィックスAPIの拡大と攻撃面の増加
2026年に入ってから4件のゼロデイというペースは注目に値する。特にグラフィックス・レンダリング系コンポーネントへの集中は、WebGPUのような高機能APIの普及がブラウザの攻撃面を構造的に拡大させていることを示している。
エンタープライズ環境では、ブラウザのパッチ管理を自動化し、リリースから適用までの時間を最小化することが重要である。Chromeは通常バックグラウンドで更新されるが、組織内のポリシーで自動更新が制限されているケースでは、手動確認のプロセスを確立する必要がある。加えて、EDR(Endpoint Detection and Response)によるブラウザプロセスの挙動監視、ブラウザ分離技術の導入、Webフィルタリングによる既知の悪性ドメインへのアクセス遮断といった多層防御が、ゼロデイ対策として有効である。
一次ソース
- Stable Channel Update for Desktop(Google Chrome Releases)
- Known Exploited Vulnerabilities Catalog(CISA)
コメント