Appleに続きChromeも…。2026年最初のゼロデイ「CVE-2026-2441」のUAF脆弱性を高校生が読み解く

Posted at 2026-02-22

はじめに

「Appleの全OS直撃ゼロデイ（CVE-2026-20700）」の考察記事を書いたばかりなのに、息つく暇もなく次の特大ニュースが飛び込んできた。

今度は地球上で最も使われているウェブブラウザ、Google Chromeのゼロデイ脆弱性（CVE-2026-2441）だ。

Forbesの報道によると、すでに実環境での悪用（イン・ザ・ワイルド）が確認されており、米サイバーセキュリティ・インフラ安全保障庁（CISA）の「既知の悪用済み脆弱性（KEV）カタログ」にも即座に追加されたという。

先日SG（情報セキュリティマネジメント試験）に合格して脆弱性のアドバイザリを読む習慣がついたところなので、今回も「ただアップデートする」だけでなく、この脆弱性の技術的な中身を考察してみようと思う。

今回の脆弱性のポイントを整理すると以下のようになる。

2025年を通じてChromeで報告されたゼロデイはわずか7件だった。
今回のCVE-2026-2441は、2026年最初のChromeゼロデイであり、すでに悪意ある攻撃者に使われている「現在進行形の脅威」だ。

個人的に一番気になったのは、「装飾言語であるはずのCSSで、なぜブラウザが乗っ取られるような深刻な脆弱性が起きるのか？」という点だった。

脆弱性の種類は「Use-After-Free（UAF）」と発表されている。
UAFとは、プログラムがメモリを解放（Free）した後にもかかわらず、そのメモリ領域を指すポインタ（参照）を使い続けてしまうバグのことだ。

Chromeの内部（Blinkエンジンなど）はC++で書かれており、HTMLやCSSを解析して画面を描画する際、メモリ上に無数の「オブジェクト」を生成する。ここで以下のようなことが起きるとUAFが発火する。

つまり、CSSのパースやスタイル適用中に何らかの複雑な処理（JavaScriptによる動的なスタイル変更など）を行うことで、「すでに破棄されたはずのCSSオブジェクトのメモリ」にアクセスさせ、そこに仕込んだ悪意あるコードを実行させるという高度なエクスプロイトが組まれていたのだと推測できる。

記事の中で言及されていた「CISAのKEV（Known Exploited Vulnerabilities）カタログに追加された」という事実も、事態の深刻さを物語っている。

KEVカタログは、米国政府が管理する「実際に悪用が確認されたヤバい脆弱性リスト」。
ここに追加されると、米国の政府機関は決められた期限内に強制的にパッチを当てる義務（拘束力のある運用指令）が発生する。

「理論上攻撃できる」というPoC（概念実証）レベルの脆弱性は毎日山のように見つかっているが、KEVに載るということは「すでに世界のどこかで、実際の被害者が出ている」という確定のサインだ。

攻撃者は、細工を施した罠サイトを用意し、ターゲットにそのリンクを踏ませるだけで（あるいは不正な広告を表示させるだけで）、バックグラウンドでこのUAF脆弱性を発火させていた可能性がある。

Chromeには自動更新機能があるため、「放っておけば勝手に直るだろう」と思いがちだ。
しかし、Forbesの記事でも警告されている通り、ゼロデイの脅威に対して「自動更新が降ってくるのを数日待つ」のはリスクが高すぎる。

自分はニュースを見た直後、手動でアップデートを叩いた。

アップデートのダウンロードが終わっても、ブラウザを再起動するまでは古いバージョンのまま動き続けている。
タブをたくさん開いていると再起動を後回しにしがちだが、ゼロデイ対応のときは即座に再起動したほうがいい。

Appleの dyld のゼロデイ（CVE-2026-20700）の考察でも書いたが、今回のChromeのUAF脆弱性（CVE-2026-2441）も、自宅のSophosのようなネットワーク・ファイアウォールでは防ぎきれない。

通信自体は正規のHTTPS（暗号化通信）としてファイアウォールを通過し、手元のブラウザのメモリ上で初めて牙を剥くからだ。

現代のブラウザは事実上の「もう一つのOS」になっている。
だからこそ、OS本体のアップデートと同じか、それ以上のスピードでブラウザのパッチを当てることが、自分たちの身を守る最強の防御なのだと改めて感じた。

みなさんは、Chromeの再起動を放置したままにしていませんか？
もし右上のメニューアイコンが「緑」や「赤」になっていたら、今すぐ再起動することをおすすめします。