Google Chromeに、実際に悪用が確認されている脆弱性が見つかり、Googleから修正版が公開されています。
今回修正された脆弱性は CVE-2026-11645 です。
ChromeのJavaScriptエンジンである V8 に関する脆弱性で、悪意のあるWebページを開くことで攻撃を受ける可能性があります。
普段からChromeでWebサイトを見ている人、メールに記載されたリンクを開く人、仕事でクラウドサービスを利用している人は、できるだけ早くChromeの更新状況を確認しておくことをおすすめします。
今回のポイント
今回のChromeアップデートで重要なのは、単なる不具合修正ではなく、実際に悪用が確認されている脆弱性が修正されたという点です。
Googleは、Chromeの安定版アップデートで複数のセキュリティ修正を行いました。
その中でも特に注意が必要なのが、次の脆弱性です。
- CVE番号:CVE-2026-11645
- 対象:Google Chrome
- 関連部分:V8 JavaScriptエンジン
- 内容:境界外読み書きに関する脆弱性
- 影響:細工されたHTMLページにより任意コード実行の可能性
- 状況:実際に悪用が確認されている
難しく聞こえますが、一般利用者の目線では、危険なWebページを開いただけで攻撃のきっかけになる可能性がある脆弱性と考えると分かりやすいです。
なぜChromeの脆弱性は重要なのか
Chromeは、単にWebサイトを見るためだけのソフトではありません。
現在では、次のような作業の入口になっています。
- GmailやOutlookなどのメール確認
- GoogleドライブやOneDriveなどのクラウド利用
- ネットバンキング
- クレジットカード決済
- 業務システムへのログイン
- Microsoft 365やGoogle Workspaceの利用
- ChatGPTやGeminiなどのAIサービス利用
- 各種管理画面へのログイン
つまり、Chromeに深刻な脆弱性があると、単に「ブラウザが落ちる」だけでは済まない可能性があります。
特に、業務用PCでChromeを利用している場合は、会社のメール、クラウドストレージ、社内システム、管理画面などへアクセスしているケースも多いため、早めの更新が重要です。
今回のCVE-2026-11645とは
CVE-2026-11645は、Chromeに搭載されている V8 というJavaScriptエンジンに関する脆弱性です。
V8は、Webページ上のJavaScriptを処理するための重要な部品です。
多くのWebサイトではJavaScriptが使われているため、V8の脆弱性は一般ユーザーにも関係します。
今回の問題は、境界外読み書きと呼ばれる種類の脆弱性です。
これは、本来アクセスしてはいけないメモリ領域を読み取ったり、書き換えたりできてしまう可能性がある問題です。
攻撃者がこの脆弱性を悪用すると、細工したWebページをユーザーに開かせることで、Chrome上で不正な処理を実行できる可能性があります。
すぐに確認すべきこと
まずはChromeが最新版になっているか確認してください。
Windowsの場合
Chromeを開き、次の手順で確認できます。
- Chrome右上の「︙」をクリック
- 「ヘルプ」をクリック
- 「Google Chromeについて」をクリック
- 更新がある場合は自動的にダウンロードされる
- 「再起動」ボタンが表示されたらChromeを再起動する
アドレスバーに次の文字を入力しても確認できます。
chrome://settings/help
この画面で更新が始まる場合があります。
更新後は、必ずChromeを再起動してください。
「Chromeは自動更新だから大丈夫」とは限らない
Chromeは基本的に自動更新されます。
しかし、次のような場合は更新が完了していないことがあります。
- Chromeを長時間開きっぱなしにしている
- PCを再起動していない
- 会社のPCで更新管理されている
- 管理者権限の都合で更新が止まっている
- セキュリティソフトやネットワーク制限で更新が遅れている
- 更新後の再起動をしていない
特に職場のPCでは、Chromeの更新が管理者側の設定に依存していることがあります。
そのため、個人利用では「Chromeについて」画面を確認し、職場では必要に応じてIT担当者へ確認するのが安全です。
Microsoft Edgeも確認した方がよい理由
Microsoft Edgeも、Chromeと同じChromiumをベースにしています。
今回の脆弱性がChromeで公表された場合、同じChromium系ブラウザであるEdgeにも関連する修正が入ることがあります。
そのため、Chromeだけでなく、Edgeを利用している人も更新確認をしておくと安心です。
Edgeの場合は、次の手順で確認できます。
- Edge右上の「…」をクリック
- 「ヘルプとフィードバック」
- 「Microsoft Edgeについて」
- 更新があれば適用
- 再起動
アドレスバーに次を入力しても確認できます。
edge://settings/help
一般ユーザーができる対策
今回のようなブラウザの脆弱性では、特別なセキュリティ知識よりも、基本的な対策が重要です。
- Chromeを最新版にする
- Edgeなど他のブラウザも最新版にする
- 不審なメールのリンクを開かない
- 怪しい広告やポップアップをクリックしない
- 不要な拡張機能を削除する
- PCを定期的に再起動する
- セキュリティソフトを最新状態にする
特に、拡張機能を多数入れている場合は注意が必要です。
使っていない拡張機能は削除しておくと、ブラウザまわりのトラブルやリスクを減らせます。
職場のIT担当者が確認したいこと
職場でChromeを利用している場合は、次の点を確認しておくとよいです。
- Chromeのバージョンが更新済みか
- Edgeも更新済みか
- 管理対象PCで更新が止まっていないか
- 再起動待ちのPCが残っていないか
- 業務システムの推奨ブラウザに影響がないか
- EDRやウイルス対策ソフトで関連アラートが出ていないか
今回のように実際の悪用が確認されている脆弱性では、「そのうち自動更新されるだろう」ではなく、できるだけ早めに適用状況を確認する方が安全です。
まとめ
2026年6月、Google Chromeで実際に悪用が確認されている脆弱性 CVE-2026-11645 が修正されました。
今回の問題は、ChromeのV8 JavaScriptエンジンに関するもので、細工されたWebページを開くことで攻撃につながる可能性があります。
Chromeは自動更新されることが多いものの、再起動待ちや管理設定の影響で、更新が完了していない場合もあります。
まずは、Chromeの「Google Chromeについて」画面を開き、最新版になっているか確認してください。
仕事でも家庭でも、Chromeは日常的に使う重要なソフトです。
今回のように実際の悪用が確認されている場合は、できるだけ早くアップデートしておくことをおすすめします。
