Chrome 146のゼロデイ2件、SkiaとV8で実環境悪用を確認
Googleが2026年3月13日(現地時間)、Chrome向けの緊急セキュリティアップデートをリリースした。修正された脆弱性は2件、いずれもCVSS 8.8、そして両方ともにin-the-wild(実環境での悪用が確認済み)。3月10日にGoogle内部で発見され、わずか3日でパッチが公開された。
2件の脆弱性
CVE-2026-3909: Skiaのout-of-bounds write
Skiaはブラウザの2D描画を担うグラフィクスライブラリで、Google Chrome・Android・Flutter・Chromiumベースのブラウザ全般で広く使われている。テキストレンダリング、画像デコード、SVG描画、CSS効果の適用まで、画面に何かを描くほぼすべての処理がSkiaを経由する。
この脆弱性は、細工されたHTMLページを介してリモート攻撃者がメモリの範囲外に書き込みを行えるもの。out-of-bounds write(境界外書き込み、CWE-787)は、確保されたバッファの範囲を超えてデータを書き込んでしまうバグで、攻撃者はこれを利用して隣接するメモリ上のデータ構造やポインタを上書きし、任意コード実行に持ち込む。CWE-787はMITREの「最も危険なソフトウェア弱点トップ25」で2024年に1位、2025年も引き続き上位に入っている。
Skiaの場合、レンダリングパイプラインの深い部分で動くため、悪用に成功すると通常のWebコンテンツの権限を超えたメモリ操作が可能になる。CVSS 8.8が付与された。
CVE-2026-3910: V8の不適切な実装
V8はChromeのJavaScript/WebAssemblyエンジン。ブラウザで動くすべてのJSコードを実行する核心部分だ。
「不適切な実装(Inappropriate implementation)」はChromiumのセキュリティ分類で使われる用語で、メモリ破壊ではなくロジック上の欠陥を指す。型の混同、JITコンパイラの最適化ミス、内部APIの仕様違反などが含まれ、結果としてサンドボックス内でのリモート任意コード実行が可能になる。こちらもCVSS 8.8。
V8の脆弱性が特に危険なのは、攻撃対象がWebページを開くだけで悪意あるJavaScriptが実行されるためだ。フィッシングメールのリンク1つで攻撃が成立する。
両脆弱性はGoogleが2026年3月10日に内部で発見し、同日報告された。Googleは「実環境でのエクスプロイト(攻撃コード)が存在する」と表明しているが、悪用の手口や背後の攻撃グループについては詳細を非公開にしている(さらなる悪用防止のため)。内部発見であることから、Google Threat Analysis Group(TAG)が標的型攻撃の調査中に検出した可能性が高いが、公式にはTAGの関与は言及されていない。
攻撃チェーンの典型パターン
今回の2件について具体的な攻撃手法は非公開だが、SkiaとV8のゼロデイが同時に修正されたことは注目に値する。ブラウザ攻撃では複数の脆弱性を連鎖させるのが一般的で、V8でサンドボックス内のコード実行を確保し、別の脆弱性でサンドボックスを脱出するという2段構えが典型的な手口だ。
graph TD
A[攻撃者が細工したWebページを用意] --> B[被害者がページを閲覧]
B --> C[V8の脆弱性でサンドボックス内の<br/>任意コード実行を確保]
C --> D[Skiaの境界外書き込みで<br/>隣接メモリを上書き]
D --> E[サンドボックス脱出<br/>レンダラプロセス外へ]
E --> F[OS権限でのコード実行<br/>データ窃取・マルウェア投下]V8単体ではサンドボックスの中に閉じ込められるため直接的な被害は限定的だが、Skiaのような低レベルコンポーネントの脆弱性と組み合わせることで完全な攻撃チェーンが成立する。2件が同時に悪用されていたかは不明だが、同日発見・同日修正という事実は連鎖攻撃の可能性を示唆している。
影響範囲とパッチバージョン
修正を含むChromeのバージョンは次のとおり。
| OS | バージョン |
|---|---|
| Windows / macOS | 146.0.7680.75 または 146.0.7680.76 |
| Linux | 146.0.7680.75 |
更新は「Chromeメニュー → ヘルプ → Google Chrome について」から確認・適用できる。再起動が必要。
ChromiumベースのブラウザであるMicrosoft Edge、Brave、Opera、Vivaldi利用者も、各プロジェクトが対応パッチをリリース次第、適用が推奨される。Skiaのバグは描画処理に起因するため、Chromiumのレンダリングエンジンを共有するすべてのブラウザが影響を受ける。
2026年のChromeゼロデイ一覧
2026年のChrome in-the-wildゼロデイは以下のとおり。
| CVE | コンポーネント | 脆弱性タイプ | CVSSスコア | パッチ時期 |
|---|---|---|---|---|
| CVE-2026-2441 | CSS/Blink | use-after-free | 8.8 | 2026年2月 |
| CVE-2026-3909 | Skia | out-of-bounds write | 8.8 | 2026年3月(今回) |
| CVE-2026-3910 | V8 | inappropriate implementation | 8.8 | 2026年3月(今回) |
3件すべてがCVSS 8.8で、発見から3日以内にパッチが出ている。3か月で3件は2025年の通年ペース(約10件)と同水準だ。
2月のCVE-2026-2441はCSSエンジン(Blink)のuse-after-free(解放済みメモリの再使用、CWE-416)で、CISAのKEV(Known Exploited Vulnerabilities)カタログにも追加された。さらに同月にはV8の整数オーバーフロー(CVE-2026-2649)や、3月にはMojo(Chromeのプロセス間通信システム)のゼロデイも確認されている。Mojoの件はロシアの組織を標的とした高度な攻撃で悪用された。
CSS、V8、Skia、Mojoと攻撃対象のコンポーネントが分散しており、特定の1箇所を塞いでも別の入口から攻められる状況が続いている。
関連記事
- Chrome・VS Code・Copilotのセキュリティ問題まとめ — CVE-2026-2441(CSSエンジンのUAF)の詳細
- CISAがアクティブ悪用中の脆弱性4件をKEVカタログに追加 — CVE-2026-2441のCISA KEV追加
- CISA KEV追加の重大脆弱性4件 — BlinkのCSSエンジンでUAFが繰り返し発生する構造的問題の分析
- JPEG-XL復活とPQC移行のMerkle Tree Certificates、Chrome 145〜146の変更点 — Mojoゼロデイやv8 CVE-2026-2649を含む2026年のChromeゼロデイ動向