會原 
修正前から攻撃されていた。
世界で最も使われているウェブブラウザで、すでに実環境で悪用が確認された脆弱性が見つかりました。Googleは3月12日と13日、Chromeに存在する2件のゼロデイ脆弱性に対処する緊急セキュリティアップデートを公開しました。Chrome利用者は世界で約35億人規模とされます。Forbes JAPANが伝えています。
今回修正された脆弱性は、CVE-2026-3909とCVE-2026-3910の2件です。いずれもパッチ公開前から攻撃者による悪用が確認されており、Googleもそれぞれのリリースノートで、実環境での悪用を認識していると明らかにしています。2026年に入ってからChromeで確認されたゼロデイ脆弱性は、これで3件目です。
CVE-2026-3909は、Chromeがウェブページの描画に使用するグラフィックスライブラリ「Skia」における境界外書き込みの脆弱性です。攻撃者が細工したHTMLページをユーザーに閲覧させることで、境界外メモリアクセスを引き起こす可能性があります。もう1件のCVE-2026-3910は、JavaScriptエンジン「V8」の実装上の欠陥で、細工されたHTMLページを通じて、サンドボックス内で任意のコードを実行できる恐れがあります。いずれもCVSSスコアは8.8で、深刻度は4段階中2番目の「High」と評価。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は3月13日、両脆弱性を「既知の悪用された脆弱性カタログ(KEV)」に追加しました。連邦政府の文民行政機関に対しては、3月27日までの修正適用を求めています。政府機関に期限を切るほどの緊急性を、CISAが認定した形です。
3月12日の更新ではChrome 146.0.7680.75/76(Windows/macOS)およびLinux向け146.0.7680.75が公開され、CVE-2026-3910に対処。翌13日には全プラットフォーム向けに146.0.7680.80が出て、CVE-2026-3909も修正されました。配信は数日〜数週間かけて段階的に行われますが、Chromeの三点メニューから「ヘルプ」→「Google Chromeについて」で今すぐ手動適用できます。更新後はブラウザの再起動をお忘れなく。
注意したいのは、影響がChromeだけで終わらない点です。Edge、Brave、Opera、Vivaldiなど同じChromiumベースのブラウザも基盤コードを共有しているため、それぞれパッチ適用が必要になります。
