結論:Chrome 146.0.3856.97 以上に今すぐ更新してください
Googleは2026年4月のChrome 146安定版アップデートで、WebGPU実装「Dawn」に存在するゼロデイ脆弱性 CVE-2026-5281 を修正しました。本脆弱性は実環境での悪用が確認済みで、CISAのKEVカタログにも登録されています。
2026年に入ってからChromeのゼロデイ脆弱性はこれで4件目です。ブラウザを経由した攻撃が常態化している現状を踏まえ、企業のブラウザ管理体制を見直す必要があります。
2026年のChromeゼロデイ脆弱性 4件まとめ
| # | CVE番号 | 公開月 | 深刻度 | 影響コンポーネント | 概要 |
|---|---|---|---|---|---|
| 1 | CVE-2026-0995 | 1月 | High | V8 JavaScript Engine | 型混乱(Type Confusion)によるリモートコード実行 |
| 2 | CVE-2026-2441 | 2月 | High (8.8) | CSS処理 | Use-After-Freeによる任意コード実行 |
| 3 | CVE-2026-3102 | 3月 | High | Skia グラフィックスライブラリ | ヒープバッファオーバーフロー |
| 4 | CVE-2026-5281 | 4月 | High | WebGPU(Dawn) | Use-After-Freeによるリモートコード実行 |
CVE-2026-5281 の概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-5281 |
| CVSS v3 スコア | High(Google は詳細スコアを非公開) |
| 脆弱性の種類 | Use-After-Free(CWE-416) |
| 影響コンポーネント | WebGPU 実装ライブラリ「Dawn」 |
| 影響を受けるバージョン | Chrome 146.0.3856.97 未満 |
| 影響を受けるブラウザ | Chrome、Microsoft Edge、Brave、Vivaldi 等 Chromium 派生全般 |
| 悪用状況 | 実環境での悪用を確認済み(In the Wild) |
| CISA KEV | 登録済み |
| 修正バージョン | Chrome 146.0.3856.97 |
攻撃の仕組み
CVE-2026-5281は、ChromiumのWebGPU実装であるDawnライブラリに存在するUse-After-Free脆弱性です。攻撃者は特別に細工したWebページをユーザーに閲覧させるだけで、ブラウザプロセスのコンテキストで任意のコードを実行できます。
WebGPUはGPUを活用した高性能グラフィックス処理のためのAPI規格で、WebGLの後継技術です。3Dコンテンツや機械学習の推論など、ブラウザ上での高負荷処理に使用されます。このような比較的新しいAPI実装が攻撃面となった点が今回の特徴です。
【更新手順】今すぐ実行してください
手動でのバージョン確認・更新(個人・小規模企業向け)
Google Chrome の場合:
- アドレスバーに `chrome://settings/help` と入力
- 表示されるバージョンが 146.0.3856.97 以上 であることを確認
- 古い場合は自動ダウンロードが開始される — 完了後「再起動」をクリック
- 再起動後、再度バージョン番号を確認して更新完了
Microsoft Edge の場合:
- アドレスバーに `edge://settings/help` と入力
- 最新のChromiumベースアップデートが適用されていることを確認
- 更新がある場合は適用後に再起動
Brave / Vivaldi の場合:
各ブラウザの設定画面からバージョン情報を確認し、最新版に更新してください。
企業のChrome管理——GPO・Intune・Chrome Enterprise
個人端末であれば手動更新で済みますが、企業環境では数十〜数百台の端末を一括管理する必要があります。
Windows環境:グループポリシー(GPO)による管理
| 設定項目 | 推奨値 | 効果 |
|---|---|---|
| `Update{8A69D345-D564-463C-AFF1-A69D9E530F96}` | 常に有効 | Chrome自動更新の強制有効化 |
| `TargetVersionPrefix` | 146. | 指定バージョン以上への更新を強制 |
| `RelaunchNotification` | 2(必須) | 更新後の再起動を強制 |
| `RelaunchNotificationPeriod` | 3600000(1時間) | 再起動までの猶予時間 |
Microsoft Intune(クラウドMDM)での管理
IntuneのWindows Updateリングで以下を設定します。
- 品質更新プログラムの延期期間 を0日に設定(緊急パッチの即時適用)
- 自動更新の動作 を「自動インストールして再起動をスケジュール」に設定
- Chromeのアプリ構成ポリシー で自動更新を有効化
Chrome Enterprise(ブラウザクラウド管理)
Google が提供する無料のChrome ブラウザ クラウド管理を利用すると、管理コンソールから以下が可能です。
- 全端末のChromeバージョンの一覧表示
- 更新が遅れている端末の特定
- ブラウザポリシーの一元配信
- 拡張機能のホワイトリスト管理
「全端末のブラウザ更新状況、把握できていますか?」
ゼロデイ脆弱性が年4件ペースで発見される時代。ブラウザのパッチ管理体制を専門チームと一緒に構築しませんか。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
ブラウザの自動更新が適用されない場合の原因と対処
「自動更新を有効にしているはずなのに最新版になっていない」——このケースは意外と多く発生します。
よくある原因と対処法
| 原因 | 詳細 | 対処法 |
|---|---|---|
| GPOで更新が無効化されている | IT部門が検証目的で自動更新を止めたまま放置 | GPO設定を見直し、自動更新を有効化 |
| 端末が長期間再起動されていない | 更新はダウンロード済みだが再起動待ち | 再起動ポリシーの強制適用 |
| プロキシ環境で更新サーバーに到達できない | 企業プロキシがGoogleの更新サーバーをブロック | プロキシの例外設定に `*.google.com`, `*.gvt1.com` を追加 |
| ユーザープロファイルの破損 | Chromeプロファイルの問題で更新プロセスが停止 | プロファイルのリセットまたは再作成 |
| Google Update Service が停止している | Windowsサービス「Google Update (gupdate)」が無効 | サービスを「自動」に設定して開始 |
更新状況の確認コマンド(Windows)
IT管理者は以下のPowerShellコマンドで、端末のChromeバージョンを一括確認できます。
よくある質問(FAQ)
Q1. Chrome を最新版に更新すればCVE-2026-5281の影響は受けませんか?
はい。Chrome 146.0.3856.97 以上 にアップデートすればCVE-2026-5281は修正されます。ただし、Microsoft Edge、Brave、Vivaldi など他のChromiumベースブラウザも同様にアップデートが必要です。
Q2. WebGPUを無効化すれば回避できますか?
一時的な緩和策としては有効です。Chromeの場合、`chrome://flags/#enable-unsafe-webgpu` を無効にするか、GPOで `WebGPUAllowed` ポリシーを設定できます。ただし、パッチ適用が根本対策であり、WebGPUの無効化は業務で3Dコンテンツやブラウザベースの機械学習ツールを利用している場合に影響が出る可能性があります。
Q3. 4ヶ月で4件のゼロデイは異常なペースですか?
2025年は通年で Chrome のゼロデイが9件でした。2026年は4月時点で4件であり、年間ペースとしてはほぼ同水準です。ブラウザのゼロデイは「たまに起きる例外」ではなく「日常的に対応すべきリスク」と認識を改めるべきです。
Q4. スマートフォンのChromeも影響を受けますか?
Android版ChromeはChromiumエンジン(Dawnを含む)を使用しているため影響を受けます。Google Play ストアから最新版に更新してください。iOS版ChromeはAppleのWebKitエンジンを使用しているため、Dawn脆弱性の直接的な影響は受けません。
Q5. 社内にIT管理者がいない小規模企業はどうすればよいですか?
最低限、以下を実施してください。(1)全端末でChromeの自動更新が有効になっていることを確認する。(2)週1回、全端末のChromeバージョンを目視確認する。(3)Chrome ブラウザ クラウド管理(無料)の導入を検討する。外部のIT支援サービスの活用も有効です。
関連記事
- Microsoft Edge緊急パッチ公開|WebGPU「Dawn」ゼロデイ CVE-2026-5281 の攻撃手口と企業がすべき対策
- Chrome ゼロデイ脆弱性 CVE-2026-2441|今すぐ確認すべき3つの対策と影響範囲
- インシデント対応フローテンプレート|初動から報告までの実践ガイド
- 中小企業のセキュリティ費用と予算計画
参考情報
- Google Chrome Releases Blog「Stable Channel Update for Desktop」(2026年4月)
- CISA Known Exploited Vulnerabilities Catalog「CVE-2026-5281」
- NIST National Vulnerability Database「CVE-2026-5281」
- Chromium Dawn Project — WebGPU Implementation
- Statcounter「Desktop Browser Market Share Worldwide」(2026年3月)
ブラウザのセキュリティ管理、このままで大丈夫ですか?
GXO株式会社では、中小企業のエンドポイントセキュリティ体制構築を支援しています。
- ブラウザ管理体制の構築 — GPO/Intune/Chrome Enterpriseによる一元管理
- パッチ管理の自動化 — 緊急更新を確実に全端末へ展開する仕組みづくり
- セキュリティ現状診断 — 脆弱性やリスクの可視化
まずは全端末のブラウザバージョンを把握するところから始めませんか。
お問い合わせはこちら → gxo.co.jp/contact
GXOの導入事例はこちらでご確認いただけます。