セキュリティ
Googleが発見者の研究者に5万5000ドルの報奨金を支払い
Googleは2026年に入って5件目となる、積極的に悪用されていたChromeのゼロデイ脆弱性を修正しました。今回は発見者に5万5000ドルの報奨金が支払われています。
この脆弱性はCVE-2026-11645として追跡されており、ChromeのV8 JavaScriptエンジンに存在する境界外メモリアクセスのバグです。Googleは実際に悪用されていたことを認めましたが、最低限の技術的詳細以外はほとんど公開していません。
同社はこの問題をWindows、macOS、Linux向けの最新安定版チャンネルリリースで修正しました。また、4月27日にバグを報告した「303f06e3」というハンドルネームの研究者に5万5000ドルの報奨金を授与しました。
この報奨金の額は、Googleがこの報告を深刻な可能性があると判断していたことを示唆しています。特に、問題がChromeの中核をなすJavaScriptエンジンであるV8内に存在していた点が注目されます。V8のバグはこれまでも、Chromeのセキュリティ勧告やエクスプロイトチェーンに繰り返し登場しており、ブラウザの中でも特に注目されるコンポーネントの一つとなっています。
積極的な悪用が確認されている場合の標準的な対応として、Googleはユーザーがパッチを適用する前に攻撃の手助けとなりうる技術的な詳細の公開を差し控えています。
CVE-2026-11645は、今年修正されたChromeの悪用済みゼロデイ脆弱性としては5件目です。Googleは2026年の幕開けにCSSの解放後使用(use-after-free)脆弱性であるCVE-2026-2441を修正し、3月にはさらにCVE-2026-3909とCVE-2026-3910の2件のゼロデイが続きました。その後、4月にはもう一つの積極的に悪用された脆弱性CVE-2026-5281が修正されています。
Googleのブラウザエンジニアにとって、2026年は再び多忙な年となりつつあります。同社は2025年を通じてChromeのゼロデイ脆弱性を8件修正しましたが、2026年はまだ6か月以上を残した時点で、すでにその数の半分以上に達しています。
今回の脆弱性が広範な無差別攻撃に使用されたという兆候はありません。ゼロデイ脆弱性はパッチが公開されるまで標的型攻撃に温存されることが多く、修正後は研究者や攻撃者の双方が修正内容を詳細に解析して変更点の把握に努めます。
Chromeユーザーへのアドバイスは、今年最初の4件のゼロデイのときと変わりません。ブラウザを再起動してアップデートをインストールし、攻撃者に不必要な先手を与えないようにすることが重要です。 ®
