概要
サイバーセキュリティとインフラセキュリティ庁(CISA)は、2つの高度に危険なゼロデイ脆弱性について緊急警告を発表しました。これらの脆弱性は主にGoogle Chromeとその関連技術に影響を及ぼし、既に悪意のある攻撃者によって悪用されています。CISAは、これらのセキュリティ問題を「既知の悪用脆弱性(KEV)」カタログに追加し、連邦機関に対して直ちにパッチを適用するよう命じ、民間組織に対しても同様の対応を強く推奨しています。
Skiaグラフィックスエンジンの脆弱性
最初の脆弱性は、CVE-2026-3909と追跡されており、Google Skiaの範囲外の書き込み問題です。Skiaは、テキスト、形状、画像をデジタルスクリーンにレンダリングするための広く使用されているオープンソースの2Dグラフィックスライブラリです。この特定の脆弱性により、リモート攻撃者はユーザーが特別に作成されたHTMLページを訪問するだけで、範囲外のメモリアクセスを引き起こすことができます。
Skiaが多くのデジタルエコシステムに統合されているため、この脆弱性の影響はGoogle Chromeをはるかに超えています。これにより、Chrome OS、Androidデバイス、Flutterフレームワークで構築されたアプリケーション、およびSkiaエンジンをグラフィックス処理に依存している他のソフトウェア製品にも重大なセキュリティリスクが生じます。
Chromium V8 JavaScriptエンジンの脆弱性
2つ目の脆弱性は、CVE-2026-3910と識別されており、Chromium V8 JavaScriptエンジンに存在します。このコアコンポーネントは、動的なウェブコンテンツの処理を担当しています。この脆弱性は、メモリバッファ内の操作に対する不適切な制限を含んでいます。
攻撃者は、被害者を悪意のあるウェブサイトに誘導することでこの脆弱性を悪用できます。特別に作成されたHTMLページがこのバグをトリガーすると、攻撃者は制限されたサンドボックス内で任意のコードを実行できます。しかし、攻撃者は通常、他の脆弱性と組み合わせることで、より深いシステムアクセスを獲得しようとします。
V8が基本的なChromiumフレームワークを支えているため、この脆弱性はMicrosoft EdgeやOperaなどの人気のあるウェブブラウザにも影響を及ぼします。
推奨される対策
CISAは、連邦機関に対してこれらのアクティブな脅威を3月27日までに解決する厳格な期限を設けています。セキュリティチームと管理者は以下のアクションを実施する必要があります:
- Google Chrome、Microsoft Edge、Operaなどの影響を受けるすべてのウェブブラウザを最新のパッチ付きバージョンに更新する。
- ChromeOS、Android、Flutterベースのアプリケーションのソフトウェア更新を適用する。
- 公式ベンダーの指示に従ってクラウドセキュリティガイドラインに従うか、公式対策が利用できない場合は脆弱な製品の使用を完全に中止する。
- ネットワークユーザーに、これらのエクスプロイトが悪意のあるウェブページを訪問する必要があることを教育する。