【緊急】Google Chromeに深刻な脆弱性、ゼロデイ攻撃を確認　今すぐアップデートを

【2026年2月27日 東京】

世界で最も利用されているブラウザ、Google Chromeにおいて、現在進行形で悪用が確認されている「ゼロデイ脆弱性」を含む複数の深刻な欠陥が発見された。Googleは2月に入り、立て続けに緊急のセキュリティパッチを公開。専門家は、ウェブサイトを閲覧するだけでPCが制御される恐れがあるとして、すべてのユーザーに対し「chrome 脆弱性 アップデート」の即時実施を強く呼びかけている。

悪用が続く「ゼロデイ脆弱性」の脅威、その正体とは

今回のアップデートで最も警戒されているのは、CVE-2026-2441と識別される「Use-after-free（使用後解放）」の脆弱性だ。これは、ブラウザがCSS（ウェブサイトのデザインを制御する言語）のフォント機能を処理する際、メモリ管理に不備が生じるもの。

驚くべきは、この欠陥が修正プログラムの公開前からサイバー攻撃者によって実際に悪用されていた「ゼロデイ」の状態にあったことだ。悪意のあるHTMLやフォントデータを含むウェブサイトを読み込むだけで、ユーザーの操作なしにブラウザの保護機能（サンドボックス）内で任意のコードが実行される「リモートコード実行（RCE）」の危険がある。

さらに直近の報告では、WebGPUやメディア処理に関連する高深刻度の脆弱性（CVE-2026-3061/3062など）も次々と特定された。これらはドライブバイダウンロード攻撃（閲覧のみでの感染）を可能にし、認証情報の窃取やランサムウェアの展開、さらにはシステム全体の乗っ取りへとつながる連鎖的な攻撃の足場となる。

影響はMicrosoft EdgeやBraveなど広範囲に

今回の問題は、Chromeの基盤となっているオープンソースプロジェクト「Chromium」に起因するため、影響はGoogle Chromeだけにとどまらない。

• Microsoft Edge
• Brave
• Opera
• Vivaldi

といったChromiumベースの主要ブラウザもすべて同様の脆弱性を抱えている。各社は順次アップデートを配信しているが、Chrome以外の利用者も自身のブラウザが最新の状態（Chromium 145.0.7632.75相当以降）に更新されているか、厳重な確認が必要だ。

企業のCI/CDパイプラインやクラウド環境にもリスク

セキュリティ研究者は、今回の脆弱性が一般的な個人のPCだけでなく、サーバーや開発現場にも深刻な影響を与えると警鐘を鳴らす。

特にPDF生成やスクレイピング、自動テスト（Puppeteer/Selenium）などで利用される「ヘッドレスChrome」や、CI/CDパイプライン内のコンテナ環境において、この脆弱性が悪用された場合、機密性の高い認証トークンやシークレット情報が外部へ流出する二次被害の懸念がある。

脆弱性を解消するための「アップデート手順」

Googleは現在、Windows、macOS、Linux向けに修正版の段階的なロールアウトを行っている。自動更新を待つのではなく、以下の手順で手動更新を行うことが推奨される。

■ PC版（Windows/macOS/Linux）の更新方法

1. Chromeを開き、右上の「︙（3点リーダー）」をクリック。
2. 「ヘルプ」から「Google Chromeについて」を選択。
3. 自動的に更新チェックが始まり、ダウンロードが完了する。
4. 重要： 画面上の「再起動」ボタンを必ずクリックする。

※再起動を行わない限り、メモリ上に古いプログラムが残り続け、脆弱性は解消されない点に注意が必要だ。

■ Android版の更新方法

1. Google Playストアを開き、プロフィールアイコンをタップ。
2. 「アプリとデバイスの管理」から「アップデート利用可能」を確認。
3. Chromeを見つけ、「更新」ボタンをタップする。

2026年2月時点の最新セキュリティ目標

現在、安全とされるバージョンは以下の通りだ（2026年2月23日時点のロールアウト状況に基づく）。

• Windows / Mac: 145.0.7632.116/117 以降
• Linux: 144.0.7559.116 以降
• Android: 145.0.7632.120 以降

サイバー攻撃者は常にパッチ公開後の「未更新端末」を標的にしている。攻撃手法が確立され、エクスプロイトキット（攻撃ツール）が流通している今、一刻も早い「chrome 脆弱性 アップデート」の適用が、自身のデータとプライバシーを守る唯一の手段となる。