ChromeゼロデイCVE-2026-11645が攻撃悪用中、今年5件目、今すぐ更新を
世界で最も使われているブラウザGoogle Chromeに、すでに攻撃へ使われている深刻な欠陥(CVE-2026-11645)が見つかり、緊急の修正版が公開されました。罠サイトを開くだけで端末を乗っ取られる恐れがあり、今年これで5件目の悪用例です。全Chrome利用者が対象で、EdgeやBraveも同様。今すぐ最新版149.0.7827.103へ更新を。確認方法と対象を整理します。
堀川 慎
Backend Engineer / AWS / Django / Go
世界で最も使われているブラウザGoogle Chromeに、すでに攻撃へ使われている深刻な欠陥(CVE-2026-11645)が見つかり、緊急の修正版が公開されました。罠サイトを開くだけで端末を乗っ取られる恐れがあり、今年これで5件目の悪用例です。全Chrome利用者が対象で、EdgeやBraveも同様。今すぐ最新版149.0.7827.103へ更新を。確認方法と対象を整理します。
世界で最も使われているブラウザGoogle Chromeに、すでに実際の攻撃に使われている深刻な欠陥(情報セキュリティ上の弱点)が見つかり、Googleが緊急の修正版を公開しました。共通の管理番号はCVE-2026-11645。罠を仕掛けたWebページを開いてしまうだけで、攻撃者の用意したプログラムが端末上で動き出す恐れがあります。Googleは「この欠陥を突く攻撃が出回っていることを把握している」と認めています。
これは、修正が間に合う前に攻撃へ悪用された欠陥、いわゆる「ゼロデイ」です。しかも2026年に入ってからこれで5件目。同じChromeで、攻撃に使われる弱点が次々と見つかっては塞がれる、という展開が続いています。米国土安全保障省のCISAも本件を「実際に攻撃されている脆弱性リスト(KEV)」に登録しました。対象はChromeだけでなく、後述するとおり同じ土台で作られたEdgeやBraveなどのブラウザにも広がります。
やるべきことは1つ、Chromeを最新版(149.0.7827.103)に更新することです。この記事では、自分のChromeを今すぐ確認・更新する方法、この欠陥で何が起きるのか、なぜブラウザの心臓部が繰り返し狙われるのか、そして家庭でも仕事でも何に気をつければいいのかを、専門知識がなくてもわかるように整理します。
自分のChromeを今すぐ確認・更新するには
まず結論です。今回の欠陥は、Chromeを149.0.7827.103(パソコン版)以降に更新すれば塞げます。更新は次の手順で確認できます。Chromeの画面右上にある「︙」(縦三点)から「ヘルプ」→「Google Chrome について」を開くと、自動で最新版の確認と更新が始まります。更新が終わったら必ず「再起動」を押して反映させてください。ダウンロードしただけで再起動していないと、古いまま使い続けることになります。
| 使っている環境 | 直っているバージョン | いますべきこと |
|---|---|---|
| Windows / Mac | 149.0.7827 .102 / .103 | 「Chromeについて」 から更新し再起動 |
| Linux | 149.0.7827 .102 | 同上、または パッケージ更新 |
| Android版 スマホ | 順次配信 | Playストアで Chromeを更新 |
| Edge / Brave など | 各社の更新を 待って適用 | 同じ土台のため 更新が必要 |
注意したいのは、更新版の配信は数日から数週間かけて段階的に広がる点です。「Chromeについて」を開いても最新が出てこない場合がありますが、手動で確認すると配信が早まることがあります。会社で多数のパソコンを管理している場合は、IT部門が一括で更新を進めるのが確実です。なお、iPhoneのChromeは中身がAppleの仕組み(WebKit)で動いており、今回のV8の欠陥の直接の対象ではありませんが、OS全体を最新に保つことはいずれにしても大切です。
何が起きるのか。罠サイトを開くだけで危ない理由
今回の欠陥があるのは、Chromeの心臓部にあたる「V8」という部品です。V8は、Webページに書かれたプログラム(JavaScript)を高速に実行するためのエンジンで、ほぼすべてのサイト表示で動いています。CVE-2026-11645は、このV8が本来触ってはいけないメモリの範囲を読み書きしてしまうたぐいの不具合です。技術的な分類は「範囲外の読み取り(CWE-125)」と「範囲外の書き込み(CWE-787)」で、危険度の指標は10点満点中8.8と高く付けられています。
怖いのは攻撃の手軽さです。NVD(米国の脆弱性データベース)の説明によれば、攻撃者が細工したHTMLページ(つまり普通のWebページ)を開かせるだけで、Chromeの内部で攻撃者のプログラムを実行できます。怪しいファイルをダウンロードする必要も、何かをインストールする必要もありません。広告や乗っ取られた正規サイト、メールやSNSのリンクから誘導されたページを開いた瞬間に成立し得ます。Chromeには被害を閉じ込める「サンドボックス(隔離の囲い)」という安全装置がありますが、こうしたメモリの欠陥は、その囲いを破るための足がかりに使われることが知られています。
そして本件は「ゼロデイ」、つまり修正が用意される前から攻撃に使われていた欠陥です。Googleは攻撃が出回っていることを認める一方、悪用の詳しい手口は、利用者の更新が行き渡るまで公表を控えるとしています。これは、詳細を出すと未更新の人を狙う別の攻撃者を増やしてしまうための、Chromeの通常の対応です。裏を返せば、いま更新していない端末は、すでに知られている手口でいつ狙われてもおかしくないということです。
この欠陥を、どんな人が、何のために狙うのか
「ブラウザの不具合くらいで大げさな」と思うかもしれません。けれど、ブラウザは今や私たちが仕事もお金も人間関係も預けている場所です。ネットバンキング、会社のメールや業務システム、SNS、ショッピング、保存したパスワード——その入り口がChromeです。罠ページを開いただけでそのChromeの内部に入り込めるという欠陥は、攻撃者にとって万能の合鍵に近い価値を持ちます。今回すでに攻撃が出回っているという事実は、その価値を狙う者が現に動いていることを意味します。
狙ってくるのは抽象的な「ハッカー」ではありません。具体的には、特定の人物の端末に密かに監視ツールを仕込みたい国家支援のスパイ集団、記者・活動家・経営者を標的に通信や位置情報を抜き取る監視ベンダー、ログインの保存情報やクッキーを盗んで口座やアカウントを乗っ取る金銭目的の犯罪グループ、そして盗んだ侵入経路を裏で売りさばく業者です。彼らが欲しがるのは、保存されたパスワードとログイン状態、ネットバンキングの操作画面、業務のやり取り、そして連絡先や撮りためた写真です。細工されたページをChromeで開いた瞬間、上に挙げたものへ手を伸ばす最初の一歩が、攻撃者の側に渡ってしまいます。
ゼロデイがとりわけ厄介なのは、最初の標的が「ピンポイントの誰か」であることが多い点です。実際に攻撃へ使われるゼロデイの多くは、まず特定の重要人物を狙った高度な攻撃で使われ、その後に手口が広まって一般の利用者にも降りてきます。つまり今回も、今は限られた標的への攻撃でも、手口が出回れば、普段どおりニュースサイトや動画を見ているだけの一般の人にまで、罠広告や乗っ取られたサイト経由で被害が広がっていく恐れがあります。
そして、被害を背負うのは特別な誰かではなく、更新を後回しにしたごく普通の利用者です。口座からの不正送金、なりすましによるSNSの乗っ取り、会社の情報の持ち出し、家族の写真や連絡先の流出——危険度8.8という数字は技術的な深刻さの目安にすぎず、罠ページひとつで現実に失われるのは、こうした生活と仕事そのものです。更新は数分で終わります。その数分を惜しむかどうかが、踏まれる側になるかどうかの分かれ目です。
今年5件目。なぜブラウザの心臓部は繰り返し狙われるのか
CVE-2026-11645は、2026年にGoogleが修正した5件目の悪用済みChromeゼロデイです。海外メディアはこの状況を「もぐら叩き」と表現しています。前回(4件目)も攻撃に使われていた欠陥を緊急で塞いだばかりで、短い間隔で同じことが繰り返されています。今回の欠陥は2026年4月下旬に匿名の研究者から報告され、責任ある開示に対して5万5,000ドル(約860万円)の報奨金が支払われたと報じられています。
なぜV8のような部品が繰り返し標的になるのでしょうか。理由は単純で、世界中のほぼ全員が、毎日、無防備にそこへコードを流し込んでいるからです。Webページを開くたびに、そのページのJavaScriptがV8で実行されます。攻撃者から見れば、V8の弱点を1つ握るだけで、相手にメールを送る必要も、ファイルを開かせる必要もなく、「ページを見せる」だけで端末に手を伸ばせます。これほど広く・確実に届く攻撃面は他になく、だからこそ高額な報奨金が動き、攻撃側もそこに資源を集中させます。ブラウザの安全装置(サンドボックス)が年々強くなる一方で、それを破る欠陥の発見も続く、というせめぎ合いが「もぐら叩き」の正体です。
公開から修正までの流れ
今回のゼロデイが報告され、緊急修正として配られるまでの流れを時系列で整理します。今年すでに5回目という点も含めて見てください。
← スワイプで移動
いまの危険度をどう見るか
✓ 確認済みの事実
- ✓CVE-2026-11645はChromeの心臓部V8の範囲外の読み書きの欠陥で、細工したWebページを開かせるだけでコード実行につながり得る。危険度8.8(NVD)
- ✓Googleは攻撃が出回っていることを認め、緊急修正版149.0.7827.102/.103を公開。米CISAもKEVに登録(SecurityWeek)
- ✓2026年に修正された5件目の悪用済みChromeゼロデイ。匿名の研究者が報告し、5万5,000ドルの報奨金が支払われた
? 現時点で未確認のこと
- ?具体的な攻撃手口や攻撃者 ― Googleは利用者の更新が行き渡るまで詳細の公表を控えている。誰がどの範囲を狙ったかは公開時点で不明
- ?被害の規模 ― 実際に何件の被害が出たかは公表されていない。ゼロデイは当初、特定の標的に絞って使われることが多い
冷静に整理すると、現時点では攻撃の詳細も被害の規模も公表されていません。一方で、すでに攻撃が出回っていて・ページを開くだけで成立し得て・利用者が数十億人いるという条件は、放置のリスクが極めて大きいことを意味します。しかも修正版はもう配られています。悪用が広まってから慌てるより、いま数分で更新してしまうのが、最も安く確実な守りです。
いま何をすればいいのか
家庭でも職場でも、やることはシンプルです。
- Chromeの「︙」→「ヘルプ」→「Google Chrome について」を開き、149.0.7827.103以降になっているか確認する。古ければ更新し、必ず「再起動」を押す
- Androidのスマホは、Playストアで「Chrome」に更新が来ていないか確認する
- Edge・Brave・Opera・Vivaldiなど、Chromeと同じ土台(Chromium)で作られたブラウザも同じ欠陥を抱える。各ブラウザの更新が出たら同様に適用する
- 会社で多数の端末を使っている場合は、IT部門が一括更新と更新状況の確認を進める
- 更新が終わるまでは、心当たりのないリンクや広告、見慣れないサイトを不用意に開かないよう普段以上に注意する
特に、ネットバンキングや会社の業務システムを使う端末は優先して更新してください。今回の攻撃はファイルを開かせる必要すらなく、ページを表示させるだけで成立し得るため、「怪しいファイルは開かないから大丈夫」という従来の心構えだけでは防ぎきれません。守りの基本は、攻撃が広まる前に最新版へ上げておくことです。
よくある質問
Q. 何も怪しいサイトは見ていません。それでも危ないのですか。
はい、油断はできません。今回の攻撃は、見慣れた正規サイトが乗っ取られて罠を仕込まれていたり、表示された広告経由で罠ページに飛ばされたりするだけでも成立し得ます。「自分は怪しいサイトを見ないから安全」とは限りません。確実なのは、Chromeを最新版に更新しておくことです。
Q. スマホのChromeも対象ですか。
Android版のChromeも対象で、更新が順次配信されます。Playストアで更新を確認してください。一方、iPhone(iOS)のChromeは中身がApple側の仕組み(WebKit)で動いているため、今回のV8の欠陥の直接の対象ではありません。ただしOSやアプリを最新に保つことは、いずれにしても大切です。
Q. ゼロデイとは何ですか。
修正(パッチ)が用意される前に、すでに攻撃に使われてしまっている欠陥のことです。開発側が対策を準備する猶予が「ゼロ日」しかない、という意味でこう呼ばれます。守る側が後手に回るぶん危険度が高く、修正版が出たら一刻も早く適用することが重要です。
Q. EdgeやBraveを使っています。関係ありますか。
関係あります。Microsoft Edge、Brave、Opera、Vivaldiなどは、Chromeと同じ土台(Chromium)の上に作られており、今回のV8の欠陥を同じように抱えます。各ブラウザの提供元が修正版を出すので、出たらすぐ適用してください。
まとめ
CVE-2026-11645は、世界で最も使われているブラウザGoogle Chromeの心臓部V8に見つかった、すでに攻撃へ悪用されているゼロデイです。細工したWebページを開かせるだけで端末上で攻撃者のプログラムが動き得る深刻な欠陥で、危険度は8.8。Googleは緊急修正版149.0.7827.102/.103を公開し、米CISAも実際に攻撃されている脆弱性リストに登録しました。2026年に入ってこれで5件目という、ブラウザの弱点をめぐる「もぐら叩き」が続いています。
対象はChromeだけでなく、EdgeやBraveなど同じ土台で作られたブラウザにも広がります。やるべきことは1つ、「Chromeについて」を開いて149.0.7827.103以降へ更新し、再起動することです。ファイルを開かなくても、ページを見ただけで成立し得る攻撃である以上、「怪しいものは触らない」という心構えだけでは防げません。更新は数分で終わります。その数分が、自分の口座・アカウント・仕事を守る一番安い保険でございます。
参照元
- ▸NVD - CVE-2026-11645(V8の範囲外読み書き、CVSS 8.8)
- ▸Help Net Security - Google patches Chrome zero-day exploited in the wild
- ▸SecurityWeek - Google Patches 5th Chrome Zero-Day Exploited in 2026
- ▸BleepingComputer - Google patches fifth Chrome zero-day exploited this year
- ▸The Register - Chrome's zero-day Whac-A-Mole continues
- ▸CWE-125: 範囲外の読み取り / CWE-787: 範囲外の書き込み