Google、Chromeの16件の脆弱性を修正、WebRTCのCVE-2026-9111で任意コード実行の恐れ

セキュリティニュース

投稿日時: 更新日時:

Google、Chromeの16件の脆弱性を修正、WebRTCのCVE-2026-9111で任意コード実行の恐れ

Googleは2026年5月19日、デスクトップ向けGoogle Chromeの安定版アップデートを公開しました。

今回の更新では、合計16件のセキュリティ修正が含まれています。特に重要なのは、Chromiumの深刻度でCriticalとされるCVE-2026-9111とCVE-2026-9110です。CVE-2026-9111はWebRTCにおけるUse-after-freeの脆弱性で、細工されたHTMLページを介して任意コード実行につながる可能性があります。

Googleによると、安定版はWindowsおよびmacOS向けに148.0.7778.178/179、Linux向けに148.0.7778.178へ更新され、今後数日から数週間かけて順次ロールアウトされます。

現時点でGoogleのリリースノートには、今回の脆弱性が実際に悪用されているとの記載はありません。ただし、Chromeは業務端末で日常的に利用されるブラウザであり、WebRTC、GPU、Service Worker、DOMなど、外部Webサイトの閲覧だけで攻撃面になり得るコンポーネントが複数含まれています。企業では、更新の配布状況だけでなく、再起動まで完了しているかを確認する必要があります。

この記事のサマリー

  • Googleは2026年5月19日、デスクトップ版Chromeの安定版アップデートを公開しました。
  • 修正版はWindowsおよびmacOS向けが148.0.7778.178/179、Linux向けが148.0.7778.178です。
  • 今回の更新では、16件のセキュリティ脆弱性が修正されています。
  • Chromiumの深刻度でCriticalとされる脆弱性は、CVE-2026-9111とCVE-2026-9110の2件です。
  • CVE-2026-9111はWebRTCのUse-after-freeで、細工されたHTMLページにより任意コード実行につながる恐れがあります。
  • Highに分類される脆弱性もGPU、QUIC、Service Worker、GFX、XR、WebRTCなど広範囲に含まれます。

何が起きたか

今回のリリースでは、16件のセキュリティ修正が含まれています。Googleは、脆弱性の詳細やバグへのリンクについて、多くの利用者が修正版へ更新するまで制限する場合があると説明しています。これは、攻撃者による悪用を抑えるための一般的な対応です。

修正された脆弱性には、WebRTC、GPU、QUIC、Service Worker、GFX、XR、DOM、Chromecast、Inputなど、複数のChromeコンポーネントが含まれます。

特にCVE-2026-9111は、WebRTCにおけるUse-after-freeの脆弱性です。NVDでは、Linux版Chrome 148.0.7778.179より前において、リモート攻撃者が細工したHTMLページにより任意コードを実行できる可能性があると説明されています。一方、GoogleのリリースではLinux向けの安定版は148.0.7778.178と案内されています。運用上は、各OSでChromeが提示する最新安定版に更新してください。

修正された主な脆弱性

CVE 深刻度 コンポーネント 概要
CVE-2026-9111 Critical WebRTC Use-after-free。細工されたHTMLページにより任意コード実行の恐れ
CVE-2026-9110 Critical UI 不適切な実装。レンダラ侵害後にUIスプーフィングが可能になる恐れ
CVE-2026-9112 High GPU Use-after-free
CVE-2026-9113 High GPU Out-of-bounds read
CVE-2026-9114 High QUIC Use-after-free
CVE-2026-9115 High Service Worker ポリシー適用不備
CVE-2026-9116 High Service Worker ポリシー適用不備
CVE-2026-9117 High GFX Type Confusion
CVE-2026-9118 High XR Use-after-free
CVE-2026-9119 High WebRTC Heap buffer overflow
CVE-2026-9120 High WebRTC Use-after-free
CVE-2026-9126 Medium DOM Use-after-free
CVE-2026-9121 Medium GPU Out-of-bounds read
CVE-2026-9122 Medium GPU Out-of-bounds read
CVE-2026-9123 Medium Chromecast Heap buffer overflow
CVE-2026-9124 Medium Input 信頼できない入力の検証不備

Googleのリリースでは、CVE-2026-9112に11,000ドル、CVE-2026-9113に3,000ドルの報奨金が記載されています。その他の多くの脆弱性はGoogle内部またはGoogleにより報告されたものとして扱われています。

特に注意すべきCVE-2026-9111

CVE-2026-9111は、WebRTCにおけるUse-after-freeの脆弱性です。

Use-after-freeは、解放済みのメモリ領域を再び参照してしまうメモリ管理上の問題です。攻撃者がメモリ状態を制御できる場合、クラッシュだけでなく、任意コード実行につながることがあります。

NVDでは、CVE-2026-9111について、Linux版Google Chromeの対象バージョンで、リモート攻撃者が細工したHTMLページを使って任意コードを実行できる可能性があると説明しています。CISA-ADPによるCVSS v3.1は8.8 Highで、攻撃元区分はネットワーク、攻撃条件は低、事前権限は不要、ユーザー操作は必要とされています。

WebRTCは、ブラウザ上で音声、映像、データ通信を実現するための機能です。Web会議、通話、画面共有、リアルタイム通信を行うWebアプリケーションで利用されます。業務端末では日常的に使われるため、脆弱性がある状態で外部サイトや不審な会議リンクを開くことはリスクになります。

CVE-2026-9110はUIスプーフィングに関係

CVE-2026-9110は、ChromeのUIにおける不適切な実装に関する脆弱性です。

NVDでは、Windows版Google Chrome 148.0.7778.179より前において、レンダラプロセスを侵害したリモート攻撃者が、細工したHTMLページによりUIスプーフィングを行える可能性があると説明されています。

GoogleのリリースではCriticalとして扱われています。一方、NVDでは現時点でNVD独自評価は未提供で、CISA-ADPはCVSS v3.1で4.2 Mediumを付与しています。これは、Chromiumのセキュリティ深刻度と、CISA-ADPが算出したCVSS評価が異なる例です。

UIスプーフィングは、ユーザーに正規の表示や警告、権限確認に見える偽表示を見せる攻撃につながる可能性があります。単体で端末侵害に直結しない場合でも、別のレンダラ侵害やフィッシング、権限付与の誘導と組み合わさると危険です。

WebRTC・GPU・Service Workerに注意が必要な理由

今回の更新では、WebRTC、GPU、Service Workerに関連する脆弱性が複数含まれています。

WebRTCは、Web会議、音声通話、映像配信、画面共有などに使われます。悪意あるWebページや不審な会議リンクを経由して攻撃対象になり得ます。

GPU関連の脆弱性は、ブラウザの描画処理やハードウェアアクセラレーションに関係します。過去のChrome攻撃では、GPUプロセスやグラフィック関連コンポーネントの脆弱性がサンドボックス回避や攻撃チェーンの一部として使われることがあります。

Service Workerは、Webアプリケーションのバックグラウンド処理、キャッシュ、オフライン動作、通知などに利用されます。ポリシー適用不備がある場合、Webアプリの分離や権限管理に影響する可能性があります。

今回の16件は、ひとつのCVEだけを見るのではなく、複数の脆弱性が組み合わされた場合のブラウザ侵害リスクとして捉える必要があります。

影響範囲

影響を受けるのは、修正版より前のデスクトップ版Google Chromeを利用している環境です。

OS Googleが案内した修正版
Windows 148.0.7778.178/179
macOS 148.0.7778.178/179
Linux 148.0.7778.178

確認対象は、一般利用者端末だけではありません。

確認対象 見落としやすいポイント
社給PC Chrome更新後に再起動されず、古い状態で稼働している場合
開発端末 管理者権限やクラウド認証情報を保持している場合
管理者端末 SaaS、クラウド、ID管理画面へアクセスするため優先度が高い
VDI・仮想デスクトップ マスターイメージや永続セッション側の更新漏れ
キオスク端末 自動更新や再起動が無効化されている場合
検証端末 古いChromeを意図的に残している環境
Chromium系ブラウザ Edge、Brave、Vivaldiなどで同系統の更新確認が必要

Chromeは自動更新されることが多いものの、企業環境ではポリシー、プロキシ、VDI、アプリ制御、再起動抑制により、更新適用が遅れる場合があります。

即時対応:情報システム部門が確認すべきポイント

Step 1:Chromeのバージョンを確認する

まず、管理対象端末でChromeのバージョンを確認してください。

利用者側では、Chromeのアドレスバーで以下を開くことで確認できます。

chrome://settings/help

管理者側では、EDR、MDM、資産管理ツール、Google Admin Console、Intune、Jamf、WSUS連携ツールなどで、端末ごとのChromeバージョンを収集してください。

# Windows端末でChromeバージョンを確認する例
(Get-Item "C:\Program Files\Google\Chrome\Application\chrome.exe").VersionInfo.ProductVersion
# macOSでChromeバージョンを確認する例
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --version
# LinuxでChromeバージョンを確認する例
google-chrome --version

Step 2:更新後の再起動完了を確認する

Chromeは更新ファイルを取得していても、ブラウザを再起動するまで新バージョンが有効にならない場合があります。

特に、次の端末は注意が必要です。

端末 注意点
長時間起動している業務PC Chromeを閉じずに使い続けると更新が反映されない
VDI セッション継続で古いプロセスが残る場合
キオスク端末 自動再起動が無効化されている場合
管理者端末 高権限操作を行うため優先的に再起動が必要
開発端末 トークンやSSH鍵を保持しているため侵害時の影響が大きい

端末管理では、単に更新配布済みと見るのではなく、実行中のChromeプロセスが修正版になっているかを確認してください。

Step 3:管理ポリシーで更新が止まっていないか確認する

企業では、Chrome更新がポリシーで制御されている場合があります。

確認すべき項目は以下です。

項目 確認内容
更新ポリシー Chrome Updateが無効化されていないか
バージョン固定 業務アプリ互換性のため古いバージョンに固定していないか
プロキシ 更新サーバへ到達できるか
管理対象外端末 BYODや委託先端末が放置されていないか
VDIイメージ マスターイメージが更新済みか
再起動制御 更新後に再起動を促す仕組みがあるか

業務アプリの互換性を理由にChromeを古いバージョンへ固定している場合、脆弱性が残り続けます。例外端末を作る場合でも、ネットワーク分離やアクセス先制限を組み合わせる必要があります。

Step 4:高リスク利用者を優先して更新する

全社更新が理想ですが、すぐに全端末を確認できない場合は、優先順位を付けてください。

優先度 対象
経営層、役員秘書、財務・経理、法務、人事
クラウド管理者、ID管理者、SaaS管理者
開発者、SRE、DevOps、ソースコード・CI/CDへアクセスする端末
SOC、CSIRT、情シス管理端末
一般業務端末
VDI、共有端末
低ではない 検証端末、休眠端末、キオスク端末

攻撃者は、認証情報や管理画面へアクセスできる端末を狙います。管理者端末が脆弱なChromeを使い続けると、SaaS、クラウド、ID基盤への横展開リスクが高まります。

Step 5:Chromium系ブラウザも確認する

Chromeの脆弱性は、Chromiumをベースにした他ブラウザにも影響する場合があります。

確認対象には、以下が含まれます。

ブラウザ 確認内容
Microsoft Edge Edge Stableの更新状況
Brave Chromiumベースの更新反映
Vivaldi 更新状況とベースChromiumバージョン
Opera 更新状況
Electronアプリ 古いChromiumを内包していないか

Google Chromeだけを更新しても、社内でEdgeやElectronベースの業務アプリが古いChromiumを含んでいる場合、同種の脆弱性が残る可能性があります。

監視で確認すべきポイント

今回のGoogleリリースでは実際の悪用は明記されていませんが、ブラウザ脆弱性はフィッシング、マルバタイジング、攻撃用Webサイト、ウォータリングホール攻撃と組み合わせられる可能性があります。

確認すべきログは以下です。

ログ 見るべき内容
EDR Chrome子プロセスの異常、PowerShellやcmdの起動
プロキシ 不審なWebサイト、短縮URL、リダイレクト連鎖
DNS 新規作成ドメイン、疑わしいTLDへのアクセス
メール 不審URLを含むフィッシングメール
CASB/SWG ブロックされた悪性サイトへのアクセス
認証ログ Web閲覧後の不審なSaaSログイン
端末ログ Chromeクラッシュや異常終了の多発

ブラウザ侵害が成立した場合、認証情報窃取、セッションCookieの窃取、マルウェアダウンロード、リモートアクセスツールの設置につながることがあります。Chromeの更新とあわせて、直近の不審なWebアクセスや端末アラートを確認してください。

ユーザーへ周知すべき内容

利用者には、Chromeを閉じて再起動し、更新を完了するよう案内してください。

あわせて、以下を周知すると効果的です。

  • Chrome右上の更新ボタンが表示されている場合は、先延ばしせず再起動する
  • 不審なURL、広告、Web会議招待、ファイル共有リンクを開かない
  • ブラウザが突然クラッシュした場合は情シスへ報告する
  • 業務端末で個人利用の拡張機能を追加しない
  • 管理画面やクラウドコンソールへアクセスする端末は、必ず最新状態を維持する

Chromeは自動更新されるため、利用者が意識しにくい一方で、再起動しなければ修正が反映されない場合があります。更新完了の確認まで含めた周知が必要です。