CISAは、Google Chromiumに存在し実際に悪用されているゼロデイ脆弱性について新たな警告を発しました。この脆弱性を利用すると、攻撃者は悪意のあるウェブコンテンツを通じて任意のコードを実行できる可能性があります。
この脆弱性は CVE-2026-11645として追跡されており、Chromiumの「V8」JavaScriptエンジンに影響を与える、境界外読み取りおよび書き込みの問題です。
CWE-787およびCWE-125に分類されるこの脆弱性は、ユーザーが特別に細工されたHTMLページを閲覧した際にトリガーされ、リモートの攻撃者がブラウザのサンドボックス内でコードを実行できる可能性があります。
Google Chromiumのゼロデイ脆弱性
米サイバーセキュリティ・インフラセキュリティ庁(CISA)によると、この脆弱性は2026年6月9日に「悪用が確認された脆弱性(KEV)カタログ」へ追加されており、脅威アクターが現実の攻撃においてこの欠陥を積極的に悪用していることが確認されています。
悪用チェーンの詳細はまだ明らかになっていませんが、KEVへの掲載は組織およびユーザーに対するリスクの高さを示すものです。
本脆弱性は、Google Chrome、Microsoft Edge、Operaをはじめとする、Chromiumフレームワークをベースに構築されたすべてのブラウザに影響します。Chromiumの広範な普及を考えると、企業・コンシューマー双方の環境において攻撃対象となる範囲は非常に広くなります。
セキュリティ研究者は、V8における境界外メモリの脆弱性は特に危険性が高く、攻撃者がメモリ構造を操作してブラウザのセキュリティ機構を回避できる可能性があると指摘しています。
現時点では、このエクスプロイトはサンドボックス環境内で実行されると考えられていますが、攻撃者はこのような欠陥をサンドボックス脱出の脆弱性と組み合わせ、システム全体の侵害に至るケースが少なくありません。
CISAは、拘束力のある運用指令(BOD)22-01に基づき、連邦機関に対してベンダー提供の緩和策を2026年6月23日までに適用するよう指示しました。
組織各位は、影響を受けるシステムへのパッチ適用を速やかに優先されることを強く推奨します。パッチが入手できない場合、CISAは修正プログラムがリリースされるまで脆弱な製品の使用を中止するよう勧告しています。
本稿執筆時点では、CVE-2026-11645とランサムウェアキャンペーンとの関連は確認されていません。ただし、ブラウザベースの悪用という性質と、類似の脆弱性が標的型攻撃に使用されてきた歴史を踏まえると、セキュリティチームはこの脅威を最優先で対処すべき問題として扱う必要があります。
ユーザーおよび管理者は、ブラウザを最新の状態に保ち、自動更新を有効にするとともに、異常なブラウザの挙動や不審なウェブアクティビティを監視してください。
また、企業においてはエンドポイント検出ログを確認し、予防措置としてブラウザアイソレーションの導入や追加のウェブフィルタリング制御の実装を検討されることを推奨します。
今回の動向は、初期アクセスの手段を求める脅威アクターが、Chromiumのようなブラウザエンジンを継続的に標的にしていることを改めて浮き彫りにしています。
ウェブブラウザは個人・企業を問わず主要なインターフェースであり続けているため、リスクを軽減するためには迅速なパッチ適用と積極的な監視が不可欠です。
翻訳元: https://gbhackers.com/cisa-alert-google-chromium-zero-day-flaw/
