ニュース

Google Chrome 148 に15件の脆弱性修正 ― Critical を含む大規模セキュリティアップデート(CVE-2026-9111 ほか)

2026.05.22

概要

Google は 2026年5月20日、Chrome の安定版チャンネルを 148.0.7778.179 にアップデートし、計15件のセキュリティ脆弱性を修正しました。このうち1件は深刻度 Critical、9件は High に分類されており、悪意ある Web ページを閲覧するだけでリモートコード実行 (Remote Code Execution / RCE) が発生する可能性があります。Chrome は企業内で広く使用されるブラウザのため、すべての端末で速やかなアップデートが必要です。

目次

  1. 何が起きたか
  2. 修正された脆弱性の一覧
  3. 特に注意すべき脆弱性
  4. 影響を受けるバージョン
  5. 対応方法
  6. まとめ
  7. YJK からのコメント
  8. 出典

何が起きたか

Google は 2026年5月20日(日本時間)、Google Chrome の安定版を 148.0.7778.179(Windows・Mac・Linux)へ更新するセキュリティリリースを公開しました。

今回のアップデートでは、外部セキュリティ研究者からの報告を含む 計15件の脆弱性が修正されています。深刻度の内訳は以下のとおりです。

深刻度 件数
Critical(緊急) 1件
High(高) 9件
Medium(中) 5件
合計 15件

Critical に分類された CVE-2026-9111(WebRTC のメモリ解放後使用)は、細工された HTML ページを開くだけでリモートから任意コードを実行される恐れがあり、ユーザー操作の最小化のみで悪用可能な深刻な脆弱性です。

修正された脆弱性の一覧

Critical

CVE コンポーネント 種別 概要
CVE-2026-9111 WebRTC 解放後使用 (Use After Free / UAF) Linux 版 Chrome で細工された HTML ページを開くと RCE が発生する可能性。CVSS 3.1 スコア 8.8(High)

High

CVE コンポーネント 種別 概要
CVE-2026-9112 GPU(Windows) 解放後使用 (Use After Free) Windows 版で RCE の恐れ
CVE-2026-9113 GPU(Mac) 境界外読み取り Mac 版でプロセスメモリ読み取りの恐れ
CVE-2026-9114 QUIC 解放後使用 (Use After Free) 悪意ある HTTP/3 サーバーとの通信でサンドボックス内 RCE
CVE-2026-9115 Service Worker ポリシー強制不備 同一オリジンポリシー (Same-Origin Policy) バイパス
CVE-2026-9116 ServiceWorker ポリシー強制不備 クロスオリジンデータ漏洩
CVE-2026-9117 GFX(Linux/ChromeOS) 型の混同 (Type Confusion) レンダラー侵害後にサンドボックスエスケープが可能
CVE-2026-9118 XR(Windows) 解放後使用 (Use After Free) Windows 版で RCE の恐れ
CVE-2026-9119 WebRTC ヒープバッファオーバーフロー 細工された HTML ページからサンドボックス内 RCE
CVE-2026-9120 WebRTC 解放後使用 (Use After Free) 細工された HTML ページから RCE

Medium

CVE コンポーネント 概要
CVE-2026-9121 GPU 境界外読み取り(ヒープ破損の可能性)
CVE-2026-9122 GPU(Mac) 境界外読み取り(プロセスメモリ漏洩)
CVE-2026-9123 Chromecast(Android/Linux/ChromeOS) ヒープバッファオーバーフロー
CVE-2026-9124 Input 不正入力検証(クロスオリジンデータ漏洩)
CVE-2026-9126 DOM 解放後使用 (Use After Free)(サンドボックス内 RCE)

特に注意すべき脆弱性

CVE-2026-9111 — WebRTC の解放後使用 (Use After Free)(Critical)

WebRTC (Web Real-Time Communication) は Web ブラウザからビデオ通話・音声通話・画面共有を行うための API です。Google Meet・Microsoft Teams(ブラウザ版)・Zoom Web クライアントなど、企業でよく使われるコミュニケーションツールが内部で利用しています。

攻撃者が細工した HTML ページを被害者に開かせるだけで、Chrome プロセスの権限でコードが実行される可能性があります。フィッシングメールのリンクや改ざんされた Web サイト経由での悪用が想定されます。

CVE-2026-9117 — GFX の型の混同 (Type Confusion)(High・サンドボックスエスケープ)

GFX(グラフィックスレンダリング)コンポーネントの型の混同脆弱性で、Linux・ChromeOS 環境においてレンダラープロセスが侵害された状態からサンドボックスエスケープが可能です。RCE 脆弱性と組み合わせることで、ホスト OS への完全なアクセス権奪取につながる恐れがあります。

CVE-2026-9114 — QUIC の解放後使用 (Use After Free)(High)

QUIC は HTTP/3 で使用される次世代トランスポートプロトコルです。悪意あるサーバーからのネットワークトラフィックによってサンドボックス内で RCE が発生するため、通常のブラウジング(HTTPS アクセス)でも悪用の可能性があります。

影響を受けるバージョン

プラットフォーム 脆弱なバージョン 修正バージョン
Windows 148.0.7778.179 未満 148.0.7778.179
Mac 148.0.7778.179 未満 148.0.7778.179
Linux 148.0.7778.179 未満 148.0.7778.179
Android 148.0.7778.179 未満 148.0.7778.179
ChromeOS 148.0.7778.179 未満 148.0.7778.179

対応方法

手動アップデート手順(Windows/Mac/Linux)

  1. Chrome を起動し、右上の ⋮(縦三点) メニューをクリック
  2. ヘルプGoogle Chrome について を選択
  3. 自動的にアップデートが始まります
  4. 「Chrome は最新版です」と表示されたら完了

アップデート後、バージョンが 148.0.7778.179 以上であることを確認してください。

組織での一括対応

手段 内容
Chrome Enterprise 管理ポリシー Google 管理コンソールまたはグループポリシー(GPO)で強制アップデートを設定
Microsoft Intune / SCCM アプリケーション展開でバージョンを指定して強制更新
EDR / エンドポイント管理 インストール済みアプリケーションのバージョン一覧を確認し、古いバージョンを特定

Chrome の自動更新が無効化されている端末や、業務アプリの互換性確認のため更新を保留している環境では特に注意が必要です。

まとめ

今回の Chrome セキュリティアップデート(148.0.7778.179)のポイントを整理します。

  • Critical 1件・High 9件を含む計15件の脆弱性を修正
  • CVE-2026-9111(WebRTC 解放後使用)は細工された Web ページを開くだけで RCE が発生する可能性があり、最優先で対応が必要
  • 影響はすべてのプラットフォーム(Windows/Mac/Linux/Android/ChromeOS)に及ぶ
  • Chrome 148.0.7778.179 以上へのアップデートで修正される
  • 企業では Chrome Enterprise や Intune を活用した一括更新の実施を推奨

YJK からのコメント

今回の Chrome アップデートは、WebRTC・GPU・QUIC などブラウザのコア機能に Critical/High の脆弱性が集中しています。これらはすべての Chrome ユーザーが日常的に利用する機能であり、攻撃の難易度も低いものが含まれています。

特に企業環境では、ブラウザのアップデートポリシーが徹底されていないケースがあります。Chrome のバージョンを組織全体で把握・管理できていない場合は、この機会に以下をご検討ください:

  • Chrome Enterprise によるポリシーベースのアップデート管理
  • EDR・IT 資産管理ツールによるインストール済みアプリのバージョン監視
  • ブラウザの自動更新が有効かを定期的に確認するチェックリストの整備

弊社ではエンドポイントのセキュリティ対策や Chrome Enterprise の導入支援も承っています。お気軽にご相談ください。

出典

ニュース一覧に戻る