Chromeゼロデイが今年4件目、WebGPU実装の脆弱性にCISAが緊急パッチ命令
GoogleがChromeの緊急アップデートを公開。WebGPU実装「Dawn」のuse-after-free脆弱性CVE-2026-5281はすでに悪用が確認されており、CISAは4月15日までのパッチ適用を命じた。2026年4件目のゼロデイとなる。
ニュース
kkm
Backend Engineer / AWS / Django
GoogleがChromeの緊急アップデートを公開。WebGPU実装「Dawn」のuse-after-free脆弱性CVE-2026-5281はすでに悪用が確認されており、CISAは4月15日までのパッチ適用を命じた。2026年4件目のゼロデイとなる。
Googleは2026年3月31日、Chrome安定版チャネルのアップデートを公開し、WebGPUの実装基盤である「Dawn」に存在するuse-after-free脆弱性 CVE-2026-5281 を修正しました。すでに攻撃での悪用が確認されており、翌4月1日には米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がKEV(既知の悪用済み脆弱性)カタログに追加。連邦政府機関に対し、4月15日までのパッチ適用を命じています。
2026年に入ってから、Chromeのゼロデイ脆弱性が実際に悪用されたのはこれで4件目です。2月にCSS処理、3月にSkiaとV8、そして今回はGPU描画エンジン。攻撃対象が毎回異なるコンポーネントに移っている点が、今年のChromeゼロデイの特徴です。
CVE-2026-5281の概要
NVD(米国脆弱性情報データベース)の記載によると、CVE-2026-5281は「Chrome 146.0.7680.178より前のバージョンにおけるDawnのuse-after-free。レンダラープロセスを侵害した攻撃者が、細工されたHTMLページを介して任意のコード実行が可能」とされています。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-5281 |
| 深刻度 | CVSS 3.1: 8.8(HIGH) |
| 種別 | Use After Free(CWE-416) |
| 影響コンポーネント | Dawn(WebGPU実装) |
| 攻撃条件 | レンダラープロセスの事前侵害が必要 + 細工されたHTMLページへのアクセス |
| 報告者 | 匿名研究者 (ハンドル: 86ac1f1587b71893ed2ad792cd7dde32) |
| 修正バージョン | Chrome 146.0.7680.177/.178 (Windows/macOS/Linux) |
| パッチ公開日 | 2026年3月31日 |
| CISA KEV追加 | 2026年4月1日 |
| パッチ適用期限 | 2026年4月15日(連邦機関向け命令) |
| 野生での悪用 | 確認済み |
Googleは「CVE-2026-5281のエクスプロイトが野生に存在することを認識している」と認めたうえで、「大多数のユーザーがアップデートを適用するまで、技術的な詳細は制限する」としています。今回の安定版アップデートでは、CVE-2026-5281を含む合計21件の脆弱性が修正されました。うち19件がHIGH、2件がMEDIUMに分類されています。
影響範囲はChromeだけではない
CVE-2026-5281はChromiumのコンポーネントに存在するため、Chromeだけでなく全てのChromiumベースブラウザが影響を受けます。世界のデスクトップブラウザ市場の約65%を占めるChromeを筆頭に、Microsoft Edge、Brave、Opera、Vivaldiなどが対象です。
| ブラウザ | パッチ状況(4月3日時点) | 確認方法 |
|---|---|---|
| Google Chrome | ✅ 修正済み(146.0.7680.177/.178) | chrome://settings/help |
| Vivaldi | ✅ 修正済み(7.9アップデート) | vivaldi://about |
| Microsoft Edge | ⚠️ 未確認(リリースノートに記載なし) | edge://settings/help |
| Brave | ⚠️ 対応状況を確認中 | brave://settings/help |
| Opera | ⚠️ 対応状況を確認中 | 設定 → ブラウザについて |
「自分はChromeではなくEdgeを使っているから大丈夫」と思うかもしれませんが、Edgeも内部ではChromiumのDawnを使用しています。パッチが反映されているかどうかは、各ブラウザの「バージョン情報」画面で必ず確認してください。
今すぐChromeのバージョンを確認する方法
Chromeのアップデートは自動で配信されますが、適用にはブラウザの再起動が必要です。長期間ブラウザを開きっぱなしにしている場合、パッチが当たっていない状態で使い続けている可能性があります。手動での確認手順は以下のとおりです。
1. Chromeのアドレスバーに chrome://settings/help と入力してアクセスします。
2. 「Google Chromeについて」画面が表示され、自動でアップデートの確認が始まります。
3. バージョン番号が 146.0.7680.177 以上であれば対策済みです。それ未満の場合、「再起動」ボタンが表示されるのでクリックしてください。
他のChromiumブラウザを使っている場合
- ▸Edge:
edge://settings/helpを開き、Chromiumバージョンが 146.0.7680.177 以上か確認 - ▸Brave:
brave://settings/helpを開き、同様にバージョンを確認 - ▸Vivaldi:
vivaldi://aboutでバージョンを確認。7.9のマイナーアップデートで修正済み - ▸Opera: 設定 →「ブラウザについて」でバージョンを確認
CISAが連邦機関に課した期限は4月15日です。この期限は民間企業に法的拘束力を持ちませんが、「悪用が確認された脆弱性をどれだけ早く塞ぐべきか」の指標として広く参照されています。まだ更新していない方は、今すぐ確認することを強くおすすめします。
2026年のChromeゼロデイ4件を振り返る
2026年に入ってわずか4ヶ月で、Chromeのゼロデイ脆弱性が4件も実際の攻撃に使われています。BleepingComputerによると、2025年の通年では8件だったため、このペースが続けば2025年を大きく上回ることになります。
← スワイプで移動
4件に共通するのは、いずれもCVSSスコアが8.8(HIGH)前後と高い深刻度であること、そして攻撃面が毎回異なるコンポーネントに移っていることです。CSS処理、2D描画、JavaScriptエンジン、GPU描画エンジンと、Chromiumの広範な領域が標的になっています。
WebGPUが攻撃面になる理由
今回の脆弱性を理解するには、「Dawn」と「WebGPU」の関係を知る必要があります。
WebGPUは、Webブラウザからデバイスのグラフィックス処理装置(GPU)に直接アクセスするための新しいAPI規格です。従来のWebGL(2011年〜)よりも低レベルなGPU制御が可能で、3Dグラフィックスや機械学習の推論処理をブラウザ上で高速に実行できます。Dawnは、このWebGPU規格をChromium向けに実装したオープンソースのライブラリです。
問題は、GPUリソースの管理が本質的に複雑であることです。CVEReportsの分析によると、CVE-2026-5281の根本原因はDawnのコマンドバッファキュー管理におけるレースコンディション(競合状態)です。JavaScript側からGPUにコマンドバッファが送信され、破棄されるまでの間に、バッファオブジェクトのライフサイクルとGPUタスクキューの処理状態の同期が取れなくなる。その結果、解放済みメモリを指すダングリングポインタが残り、攻撃者がそのメモリ領域を任意のデータで上書きできるようになります。
use-after-free(解放後使用)とは、プログラムがすでに解放したメモリ領域にアクセスし続けてしまうバグのことです。攻撃者は解放された領域に悪意あるデータを配置し、プログラムがそのデータを「まだ有効な情報」として処理することで、任意のコードを実行させます。
攻撃は2段階で進みます。まず別の脆弱性でブラウザのレンダラープロセス(Webページの描画を担当するプロセス)を侵害し、次にこのDawnのバグを利用してブラウザのサンドボックスを脱出、ホストOSレベルでの任意コード実行に到達します。
厄介なのは、今回の修正版アップデートでDawn関連の脆弱性が3件同時に修正されている点です。CVE-2026-5281のほかに、CVE-2026-4676(Dawnのuse-after-free)とCVE-2026-5284(同じくDawnのuse-after-free)が含まれています。いずれも同一の匿名研究者 86ac1f1587b71893ed2ad792cd7dde32 が報告したもので、Help Net Securityの報道によると、この研究者はWebGL関連のヒープバッファオーバーフロー(CVE-2026-4675)も同時に報告しています。WebGPUとWebGLのグラフィックス関連コンポーネントに集中的にバグが見つかっていることがわかります。
Chromeのゼロデイが頻発する構造的な理由
2026年の4件のうち、3件がuse-after-freeです(CVE-2026-2441、CVE-2026-3910はV8の不適切な実装であり例外)。これは偶然ではありません。
Chromiumは主にC++で書かれており、メモリ管理はプログラマーの責任です。Googleは過去に「Chromiumのセキュリティバグの約70%がメモリ安全性の問題に起因する」という分析結果を公表しています。use-after-freeはその代表的なパターンです。
この問題に対し、Googleは2つのアプローチで対策を進めています。ひとつはC++のスマートポインタ機構「MiraclePtr」の導入で、use-after-freeを検出してクラッシュさせることで攻撃の成立を防ぎます。もうひとつはChromiumコードベースへのRust言語の段階的な導入で、メモリ安全性をコンパイル時に保証する方向性です。
しかし、DawnのようなGPU関連コンポーネントはまだ比較的新しく、コードの成熟度がV8やBlinkに比べて低い状態です。WebGPUの仕様自体が2023年にようやく安定版として出荷されたばかりであり、攻撃者にとっては「まだバグが多く残っている可能性が高い新しい攻撃面」として映るのは自然なことです。
PCQuestはこの状況を「ブラウザセキュリティのより大きな問題を明らかにしている」と評しています。攻撃面が多角化しているということは、ひとつのコンポーネントを堅牢にしても、別のコンポーネントが狙われる「もぐら叩き」の状態にあるということです。根本的な解決には、C++からメモリ安全な言語への移行を加速するか、あるいはサンドボックスの多重化でゼロデイの影響範囲を限定するしかありません。
まとめ
CVE-2026-5281は、すでに攻撃に悪用されているChromeのゼロデイ脆弱性です。WebGPU実装のDawnにおけるuse-after-freeで、レンダラープロセスを侵害した攻撃者に任意のコード実行を許します。Chrome、Edge、Brave、Vivaldi、Operaなど全てのChromiumベースブラウザが影響を受けます。
今すぐ chrome://settings/help(または各ブラウザの対応ページ)を開き、バージョンが 146.0.7680.177 以上になっているか確認してください。自動更新を有効にしていても、ブラウザを再起動しなければパッチは適用されません。
2026年4件目のゼロデイは、CSSからSkia、V8、そしてWebGPUへと攻撃面が広がっていることを示しています。ブラウザのアップデートを「通知が来たらそのうち」ではなく、「セキュリティニュースを見たら即確認」に習慣を変えるべき段階に来ています。
参照元
- ▸ Google Chrome Releases - Stable Channel Update for Desktop(2026年3月31日)
- ▸ NVD - CVE-2026-5281 Detail(2026年4月1日)
- ▸ CISA - Known Exploited Vulnerabilities Catalog(2026年4月1日追加)
- ▸ BleepingComputer - Google fixes fourth Chrome zero-day exploited in attacks in 2026(2026年4月1日)
- ▸ Help Net Security - Google fixes Chrome zero-day with in-the-wild exploit (CVE-2026-5281)(2026年4月1日)
- ▸ SecurityAffairs - Google fixes fourth actively exploited Chrome zero-day of 2026(2026年4月1日)
- ▸ CVEReports - CVE-2026-5281: High-Severity Use-After-Free in Dawn WebGPU Implementation
- ▸ PCQuest - Chrome's fourth zero-day of 2026 reveals a bigger browser security problem
- ▸ Chromium - Memory Safety