Google、Chromeの脆弱性を修正-V8 ゼロデイ脆弱性「CVE-2026-11645」が実際にサイバー攻撃に悪用中|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月10日更新日時: 2026年06月10日

2026年6月8日（月）、Googleは「Chrome 149.0.7827.102/.103」（Windows/Mac）および「149.0.7827.102」（Linux）を公式リリースブログで公表しました。

今回の更新が他の定例パッチと異なる最大の理由は、Googleが「CVE-2026-11645のエクスプロイトが野外に存在することを確認している（Google is aware that an exploit for CVE-2026-11645 exists in the wild）」と明言した点にあります。CVE-2026-11645は、Chromeの内蔵JavaScriptエンジン「V8」における境界外メモリアクセス（Out of Bounds Read and Write）の脆弱性であり、細工されたHTMLページを被害者が開くだけでサンドボックス内での任意コード実行が可能となります。Infosecurity MagazineはこれをChromeの「2026年で5件目の実際に悪用が確認されたゼロデイ」と位置付けており、

当サイトが過去に報じたCVE-2026-5281をはじめとする悪用の流れが継続していることを示しています。今回のリリースには合計74件のセキュリティ修正（Critical 17件・High 55件・Medium 2件）が含まれており、Criticalはすべて「Use after free（解放済みメモリへのアクセス）」または整数オーバーフローです。本記事では各CVEの詳細・攻撃の仕組み・今すぐ実施すべき更新手順を解説します。

サマリー

2026年6月8日、Chrome 149.0.7827.102/.103をリリース。74件のセキュリティ修正（Critical 17件・High 55件・Medium 2件）
CVE-2026-11645（High）が実際に悪用確認済みのゼロデイ——V8の境界外読み書き。細工されたHTMLページでサンドボックス内の任意コード実行が可能。外部研究者303f06e3氏に$55,000のバグバウンティを支払い
2026年で5件目の実際に悪用されたChromeゼロデイ（Infosecurity Magazine）
Critical 17件すべてGoogle自身が発見（N/A＝外部バウンティなし）：OzoneのUAF×2・File Input・Aura・TabStrip・Bluetooth×3・Gamepad・Autofill・Views×2・Printing・Compositing・libyuvの整数オーバーフロー・Web Apps・Proxy
Googleは詳細な悪用手法を非公開（「多数のユーザーが修正版に更新されるまでバグ詳細へのアクセスを制限する」）
Android版（Chrome 149.0.7827.59）も同日リリース済み。同一脆弱性を修正
安全なバージョン：Windows/Mac → 149.0.7827.103以上、Linux → 149.0.7827.102以上

1 最重要ゼロデイ：CVE-2026-11645——V8の境界外読み書き
- 1.1 脆弱性の概要
2 Critical 17件の全リスト—Google社内が5〜6月に集中発見
- 2.1 Use after free（UAF）とは
3 High 55件から注目すべき脆弱性
4 2026年のChromeゼロデイの動向——今回で5件目
5 今すぐ実施すべき更新手順
- 5.1 Chrome の更新確認方法
- 5.2 企業・組織向け：即時展開の推奨
6 FAQ
7 参考情報

最重要ゼロデイ：CVE-2026-11645——V8の境界外読み書き

脆弱性の概要

CVE-2026-11645は、ChromeのJavaScriptエンジンV8における「境界外読み書き（Out-of-Bounds Read and Write）」の脆弱性です。

Malwarebytesの技術解説によれば、V8はChromeがJavaScriptを処理するエンジンの中核部分です。境界外読み書きとは、プログラムが本来使用すべきメモリ領域の外側を読み取ったり書き込んだりできる状態を指します。攻撃者はこの欠陥を利用して、より重要な機能に割り当てられたメモリ領域を操作したり、悪意あるコードをメモリに配置してシステムに実行させたりすることが可能になります。

攻撃の条件：被害者が攻撃者の用意した細工されたHTMLページをChromeで開くだけで攻撃が成立します。特別な操作・ファイルのダウンロード・アプリのインストールは不要です。メール内のリンクや広告経由での誘導が一般的な攻撃経路として想定されます。

攻撃の結果：Chromeのサンドボックス内での任意コード実行（Remote Code Execution）が可能です。サンドボックス外への完全なシステム侵害にはさらなる脆弱性の連携が必要ですが、サンドボックス内でのコード実行だけでも、ブラウザ内の認証情報・セッションCookie・表示中のページの内容へのアクセスが可能となります。

悪用の状況：Googleは「エクスプロイトが野外に存在することを確認している」と明言していますが、具体的な攻撃者・攻撃を受けた組織・攻撃の手口については非公開としています。これは「多数のユーザーが修正版に更新されるまでバグ詳細へのアクセスを制限する」というChromeの標準的なポリシーに基づくものです。

発見者と報奨金：外部研究者「303f06e3」氏が2026年4月27日に報告。Googleは**$55,000（約800万円）**のバグバウンティを支払っています。

Critical 17件の全リスト—Google社内が5〜6月に集中発見

今回のCritical 17件はすべてGoogle自身によって発見されており、外部バウンティは支払われていません（表記：N/A）。発見の集中期間は2026年5月25日〜5月30日の1週間で、内部的な集中的なセキュリティ監査が行われたと推測されます。

CVE番号	脆弱性の種類	影響コンポーネント	報告日
CVE-2026-11628	Use after free	Ozone	5/25
CVE-2026-11629	Use after free	Ozone	5/26
CVE-2026-11630	Use after free	File Input	5/26
CVE-2026-11631	Use after free	Aura	5/26
CVE-2026-11632	Use after free	TabStrip	5/26
CVE-2026-11633	Use after free	Bluetooth	5/27
CVE-2026-11634	Use after free	Gamepad	5/27
CVE-2026-11635	Use after free	Bluetooth	5/27
CVE-2026-11636	Use after free	Autofill	5/27
CVE-2026-11637	Use after free	Views	5/27
CVE-2026-11638	Use after free	Printing	5/27
CVE-2026-11639	Use after free	Compositing	5/27
CVE-2026-11640	Integer overflow	libyuv	5/28
CVE-2026-11641	Use after free	Bluetooth	5/28
CVE-2026-11642	Use after free	Web Apps	5/29
CVE-2026-11643	Use after free	Proxy	5/29
CVE-2026-11644	Use after free	Views	5/30

Use after free（UAF）とは

Use after free（UAF）とは、解放されたメモリ領域を参照し続けることで発生する脆弱性です。攻撃者がその解放済みメモリ領域に悪意あるデータを配置できれば、意図しないコードの実行やクラッシュを引き起こすことができます。Bluetooth（3件）・Views（2件）・Ozone（2件）と、特定コンポーネントへの集中が見られます。

High 55件から注目すべき脆弱性

CVE番号	種類	コンポーネント	発見者	バウンティ
CVE-2026-11645	Out of bounds RW	V8	303f06e3	$55,000（野外悪用）
CVE-2026-11646	Use after free	ViewTransitions	Quac Tran	$500
CVE-2026-11648	Use after free	FullScreen	Mihnea Nicolau	N/A
CVE-2026-11649〜11650	Use after free	V8（×2）	Google	N/A
CVE-2026-11652	Use after free	Extensions	Google	N/A
CVE-2026-11653	信頼できない入力の検証不足	Extensions	Google	N/A
CVE-2026-11655	Integer overflow	Media	Google	N/A
CVE-2026-11656	Use after free	ServiceWorker	Google	N/A

V8での複数のUAF（CVE-2026-11649・11650）に加え、Extensions（拡張機能）コンポーネントへの2件の脆弱性も確認されています。拡張機能の権限昇格や情報窃取に悪用される可能性があるため注意が必要です。

2026年のChromeゼロデイの動向——今回で5件目

Infosecurity Magazineが今回を「2026年で5件目の実際に悪用が確認されたChromeゼロデイ」と位置付けており、当サイトの既報との対応は以下のとおりです。

ゼロデイCVE	報告日	修正バージョン	当サイト記事
CVE-2026-5281	2026年3月頃	Chrome 148	既報あり
CVE-2026-9872・9873	2026年5月	Chrome 148	既報あり
CVE-2026-11645	2026年6月8日	Chrome 149.0.7827.103	本記事

なお、Chrome 149の初回リリース（149.0.7827.53/.54）では記録的な429件のセキュリティ修正が行われましたが（SecurityWeek報道）、今回の149.0.7827.102/.103は追加のセキュリティポイントリリースです。

今すぐ実施すべき更新手順

Chrome の更新確認方法

Chromeは通常バックグラウンドで自動更新されますが、即時の適用には手動確認が有効です。

Chromeを開き、右上のメニュー（⋮）をクリック
「ヘルプ」→「Google Chrome について」を選択
バージョン確認画面が表示され、更新がある場合は自動でダウンロード・適用
「更新が適用されました」と表示されたら「再起動」をクリック

安全なバージョンの確認：

Windows/Mac：149.0.7827.103以上
Linux：149.0.7827.102以上
Android：149.0.7827.59以上

企業・組織向け：即時展開の推奨

CVE-2026-11645は細工されたHTMLページを閲覧するだけで攻撃が成立するため、組織のChrome管理ポリシーでの強制更新を推奨します。Google管理コンソール（Workspace）またはエンドポイント管理ツールで最新バージョンへの更新を優先的に展開してください。

Chromium系ブラウザ（Microsoft Edge・Brave・Operaなど）を使用している場合も、各ブラウザのChromiumエンジン更新状況を確認し、対応するバージョンへのアップデートを実施してください。

FAQ

Q. 自動更新が有効になっていれば放置して大丈夫ですか？ A. 自動更新は「数日〜数週間かけて順次展開される」とGoogleが記載しています。今すぐ「Google Chromeについて」からバージョンを確認して149.0.7827.103以上（Windows/Mac）になっているかを確認してください。ゼロデイの悪用が確認されている場合は即時確認・更新が推奨されます。

Q. CVE-2026-11645のゼロデイはどのような攻撃で悪用されていますか？ A. Googleは攻撃の詳細を現時点で非公開としています。「多数のユーザーが修正版に更新されるまでバグ詳細を制限する」という標準ポリシーに従ったものです。一般的な攻撃ベクターとしては、フィッシングメール内のリンク・悪意ある広告（マルバタイジング）・侵害されたウェブサイトへの誘導が考えられます。

Q. ChromiumベースのEdgeやBraveは影響を受けますか？ A. はい。V8などのChromiumの共有コンポーネントに存在する脆弱性は、Chromiumベースのすべてのブラウザに影響します。Microsoft Edge・Brave・Opera・Vivaldi等のChromiumベースブラウザも各ベンダーからの更新を確認してください。MicrosoftはEdgeの更新情報をhttps://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-securityで公開しています。