「またChromeの更新通知が出ているけれど、あとで再起動すればいいか」――そう思って先延ばしにしていませんか。今回のChrome 148の更新は、その「あとで」が思いのほか危ない種類のものです。
GoogleはChrome 148で、合計151件の脆弱性を修正しました。そのうち22件は最も深刻度の高い「Critical(緊急)」に分類されています。幸い、現時点では実環境での悪用は確認されていませんが、ブラウザは私たちが毎日もっとも長く触れるソフトウェアのひとつであり、攻撃者にとっても格好の入口です。
この記事では、今回の更新が何を意味するのかを攻撃者の視点から読み解き、個人でも組織でも今すぐできる「更新確認の手順」を、現場で迷わないレベルまで具体的に解説します。難しい設定は不要です。数分の作業で、リスクの大半を下げられます。
Chrome 148で何が修正されたのか(概要)
まず事実を整理します。今回のChrome 148安定版では、151件の脆弱性が修正されました。深刻度の内訳は、Criticalが22件、Highが123件、残り6件がMediumです。Criticalの22件はCVE-2026-9872からCVE-2026-9893として採番されています。
技術的に目を引くのは、修正された151件のうち66件が「Use-After-Free(UAF)」と呼ばれる種類の脆弱性だった点です。UAFは、すでに解放されたメモリ領域を誤って再利用してしまうバグで、攻撃者がうまく突くと任意のコードを実行できてしまう危険性があります。代表的なCriticalとしては、グラフィックス基盤のDawnにおけるUAF(CVE-2026-9874)、WebGLでの領域外読み取り(CVE-2026-9875)、WebGLでのUAF(CVE-2026-9876)などが挙げられています。
「Critical(緊急)」という分類が何を意味するのかも確認しておきましょう。Googleの深刻度区分では、Criticalは「攻撃者が通常のサンドボックス(ブラウザが各タブを隔離して被害を閉じ込める仕組み)を越えて、端末上で広範な悪さをできる可能性がある」レベルを指します。つまり、ブラウザの中だけで被害が止まらず、端末そのものを乗っ取られかねない深刻度です。それが今回22件もまとめて修正されたという点に、更新の重みがあります。
発見の経緯も押さえておきましょう。今回の151件のうち134件はGoogle自身が発見し、17件は外部のセキュリティ研究者からの報告でした。Googleは外部報告に対して合計13万7,500ドルの報奨金を支払っています。こうした「見つけて直す」サイクルが回っていること自体は健全ですが、裏を返せば、それだけ多くの弱点が日常的に潜んでいるということでもあります。ブラウザのように巨大で複雑なソフトウェアでは、脆弱性が尽きることはなく、定期的な更新を前提に付き合っていく必要がある――この前提を共有しておくことが、慌てずに対処する第一歩です。
攻撃者はブラウザの「未更新」をどう狙うか(敵を知る)
なぜブラウザの更新がこれほど重要なのか。それは、攻撃者の典型的な手口と深く結びついているからです。
ブラウザの脆弱性は、多くの場合「悪意のあるWebページを開かせる」ことで悪用されます。利用者が罠サイトにアクセスした瞬間、未修正のブラウザだとページ内のコードが脆弱性を突き、端末上で攻撃者の意図したプログラムが動いてしまう――これが、いわゆるドライブバイダウンロード型の攻撃の基本構図です。今回のようにUAF系のCriticalが多いと、この「ページを開いただけで」というシナリオが現実味を帯びます。
ここで攻撃者の発想を一段深く読むと、彼らが狙うのは「最新の脆弱性」だけではありません。むしろ「修正版が公開されたのに、まだ更新していない端末」を狙うほうが効率的です。修正内容が公開されると、攻撃者はその差分から弱点の所在を逆算できます。つまり、パッチ公開はゴールではなくスタートであり、公開後に更新を放置している期間こそが、もっとも危険な「窓」になります。
この「逆算」は専門的にはパッチ・ディフィング(patch diffing)と呼ばれ、修正前後のコードの違いを比較して、どこにバグがあったのかを突き止める手法です。熟練の攻撃者にとっては珍しい作業ではなく、近年は自動化も進んでいます。だからこそ、利用者側が「公開されたらすぐ更新する」というシンプルな対応を徹底するだけで、攻撃者が逆算で得たアドバンテージを無効化できます。
もうひとつ押さえておきたいのは、ブラウザが「攻撃の起点」になりやすい理由です。ブラウザは外部のWebサイトという、自分ではコントロールできないコンテンツを大量に読み込みます。メール内のリンク、検索結果、SNSの投稿――どれもクリックひとつで未知のページへ飛びます。つまり、どれだけファイアウォールやアンチウイルスを固めていても、ブラウザ自体に穴があれば、利用者の何気ない一クリックが侵入の入口になりかねません。これが、ブラウザの更新を「後回しにできない基本対策」と位置づける理由です。
PR
Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する(米内貴志 著)
現代のブラウザが備えるセキュリティ機構を、攻撃者とブラウザ開発者の攻防の歴史から丁寧に解き明かす一冊。なぜブラウザの更新が重要なのかを構造から理解したい情シス・Web担当者の土台づくりに向いています。
今すぐやるべき更新確認の手順
それでは、実際の確認手順に入ります。Chromeは原則として自動更新されますが、「ブラウザを長期間再起動していない」「更新がダウンロード済みだが適用待ち」という状態が意外と多く、ここが盲点になります。
1. バージョンを確認する
Chromeのアドレスバーに「chrome://settings/help」と入力してEnterを押すと、「Chromeについて」の画面が開きます。この画面を開いた時点で、Chromeは自動的に更新の有無を確認し、利用可能なら自動でダウンロードを始めます。表示されたバージョン番号が、今回の更新版(後述)以上であることを確認してください。
2. 「再起動」ボタンが出たら必ず押す
更新がダウンロードされても、「再起動」を押してChromeを再起動するまで、新しいバージョンは適用されません。「再起動」ボタンが表示されていたら、開いているタブを保存したうえで必ず実行してください。再起動後、再度「Chromeについて」を開き、「Chromeは最新版です」と表示されれば完了です。
3. 更新版バージョンの目安
今回の修正が反映された更新版は、OSごとに次のとおりです。
| OS | 更新版バージョン(目安) |
|---|---|
| Windows | 148.0.7778.216 / .217 |
| macOS | 148.0.7778.215 / .216 |
| Linux | 148.0.7778.215 |
なお、Microsoft EdgeやBrave、Operaなど、Chromeと同じ基盤(Chromium)を使うブラウザも同様の脆弱性を抱えている可能性があります。これらを使っている場合も、それぞれの更新を確認してください。
組織で一斉に更新を行き渡らせるコツ
社内に複数のPCがある場合、「全員が確実に更新している」状態をどう作るかが課題になります。情報システム担当が少人数でも回せる、現実的な進め方を整理します。
・更新ポリシーの確認: 業務用PCでChromeの自動更新が無効化されていないかを確認する。過去に手動運用へ切り替えたまま放置されているケースがあります
・再起動の徹底: 自動更新が有効でも、ブラウザを再起動しなければ適用されません。週次で「ブラウザ再起動の日」を設けるだけでも効果があります
・バージョンの可視化: 資産管理ツールを使っている場合は、各端末のChromeバージョンを一覧で把握できるようにしておく
・古い端末の洗い出し: 長期間電源を入れていない端末や、退職者が使っていた端末は更新から取り残されがちです。定期的に棚卸しする
Windowsの企業環境であれば、グループポリシーやChrome Browser Cloud Managementを使うことで、更新の状態を集中管理できます。これらを使えば、各端末のバージョンをダッシュボードで一覧でき、強制的に最新版へ更新させるポリシーも配布できます。専任の担当がいない組織でも、まずは「自動更新を止めない」「定期的に再起動を促す」という運用ルールを文書化しておくだけで、属人化を避けられます。
リスクの優先順位づけも大切です。すべての端末を同時に揃えるのが難しいなら、外部とのやり取りが多い営業・サポート部門の端末、管理者権限を持つ運用担当の端末、そして機密情報を扱う端末から先に更新を済ませましょう。攻撃者は「弱くて価値の高いところ」から狙うため、こちらも価値の高い資産から守るのが理にかなっています。
Linuxサーバー上でChromeやChromiumを動かしている場合のパッケージ管理については、姉妹サイトLinuxMaster.JPも参考になります。クラウド上の仮想デスクトップでブラウザを集中管理する構成についてはクラウドマスターズ.TOKYOも役立ちます。
# Linux(Debian/Ubuntu系)でGoogle Chromeのバージョンを確認する例 # 自分が管理する端末に対してのみ実施すること # インストール済みChromeのバージョン確認 google-chrome --version # APT経由で導入している場合の更新(管理者権限が必要) sudo apt update sudo apt install --only-upgrade google-chrome-stable
更新後にあわせてやっておくと安心なこと
更新を済ませたら、ついでに見直しておくと守りが一段固くなるポイントがあります。どれも数分で確認できる内容です。
拡張機能の棚卸し
ブラウザの拡張機能は便利な反面、過剰な権限を持つものや、開発が止まって放置されたものが攻撃の足がかりになることがあります。「chrome://extensions」を開き、使っていない拡張機能を無効化または削除しましょう。とくに「すべてのサイトのデータを読み取り、変更できる」という権限を持つ拡張機能は、本当に必要かを見直す価値があります。
パスワードと同期設定の確認
ブラウザにパスワードを保存している場合、端末が乗っ取られると保存済みの認証情報も危険にさらされます。重要なアカウントは、ブラウザ保存頼みにせず、フィッシングに強い多要素認証を併用しておくと安心です。会社のアカウントを個人のChromeプロファイルに同期させていないかも、この機会に確認しておきましょう。
古いブラウザの併用をやめる
業務システムの都合で、古いバージョンのブラウザや別系統のブラウザを併用しているケースがあります。更新が止まったブラウザは脆弱性が残り続けるため、攻撃者にとって格好の標的です。どうしても残す必要がある場合は、用途を限定し、インターネット全般の閲覧には使わないといった運用上の歯止めをかけましょう。
よくある誤解と注意点
誤解1: 「自動更新だから何もしなくていい」
Chromeは自動更新されますが、適用には再起動が必要です。何日もブラウザを開きっぱなしにしていると、ダウンロード済みでも古いバージョンのまま動き続けます。「再起動して初めて完了」と覚えておきましょう。
誤解2: 「悪用されていないなら急がなくていい」
今回は現時点で実環境での悪用は確認されていません。しかし前述のとおり、修正の公開後は攻撃者が弱点を逆算しやすくなります。「悪用が確認されてから動く」では遅く、公開直後の更新がもっとも効果的です。
誤解3: 「うちは怪しいサイトを見ないから大丈夫」
ブラウザの脆弱性は、正規サイトに仕込まれた不正な広告(マルバタイジング)や、改ざんされた信頼済みサイト経由でも突かれます。「怪しいサイトを避ける」だけでは防ぎきれないため、更新という基本の対策が効いてきます。
よくある質問(FAQ)
Q1. 更新後に拡張機能やログイン状態は消えますか?
通常、Chromeの更新で拡張機能の設定やログイン状態が消えることはありません。再起動の際に開いていたタブも、設定によっては復元されます。心配な場合は重要なタブをブックマークしてから再起動してください。
Q2. 「Chromeについて」を開いても更新が始まりません。
ネットワーク環境や企業のポリシーで自動更新が制限されている可能性があります。組織であれば情報システム担当に確認を、個人であれば公式サイトから最新版を再インストールする方法もあります。
Q3. スマートフォンのChromeも更新が必要ですか?
はい。スマートフォン版Chromeは各アプリストア(Google Play、App Store)経由で更新されます。アプリの自動更新を有効にしておくか、ストアで手動更新を確認してください。
Q4. CVE番号とは何ですか?
CVE(Common Vulnerabilities and Exposures)は、世界共通で脆弱性に付けられる識別番号です。CVE-2026-9874のように採番され、どの脆弱性を指しているかを正確に共有するために使われます。
Q5. Use-After-Free(UAF)はなぜ危険なのですか?
すでに解放されたメモリ領域を誤って再利用するバグで、攻撃者がそのメモリを乗っ取れると、本来は許されない動作(任意コードの実行)を引き起こせる場合があるためです。ブラウザのように複雑なソフトで起きやすい種類の脆弱性です。
Q6. Edgeを使っているのですが、Chromeの更新は関係ありますか?
Microsoft EdgeはChromeと同じChromium基盤のため、同種の脆弱性を抱えていることがあります。Edge側でも更新を確認してください。確認方法はChromeとほぼ同じで、設定からバージョン情報を開くと自動で更新がかかります。
Q7. すべての社員のPCを今日中に更新するのは現実的ですか?
全台を即時に揃えるのは難しくても、まずは外部とやり取りの多い端末や管理者権限を持つ端末から優先的に更新するのが現実的です。リスクの高いところから順に潰す発想が有効です。
PR
サイバーセキュリティ入門:図解×Q&A【第2版】(羽室英太郎 著)
脆弱性やパッチ管理を含むセキュリティの基礎を、図解とQ&A形式でやさしく学べる入門書。「更新がなぜ重要か」を社内で共有する際の共通言語づくりにも役立ちます。
本記事のまとめ
Chrome 148の151件の修正、うち22件のCriticalは、「ブラウザは毎日使うからこそ、もっとも狙われやすい入口でもある」という事実を改めて思い出させてくれます。やるべきことはシンプルです。「chrome://settings/help」を開いてバージョンを確認し、「再起動」ボタンが出たら必ず押す。これだけで、今回のリスクの大半に蓋をできます。
攻撃者は最新の脆弱性そのものより、「直せるのに直していない端末」を好んで狙います。だからこそ、パッチ公開直後の更新が最大の防御になります。過度に怖がる必要はありません。正しく知って、今日のうちに更新を済ませておきましょう。
「更新の徹底」を組織の文化にしたいと感じていませんか?
ブラウザ更新のような基本対策から、攻撃者視点の実践的な備えまで、現場目線でやさしく解説しています。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
