Chromeに今年4件目のゼロデイ脆弱性 — WebGPUの新技術が攻撃対象に

4月1日にChromeのWebGPUという機能に「ゼロデイ脆弱性」が見つかって、Googleが緊急パッチを出したんだよ。CVE-2026-5281っていう識別番号が付いてるね。

修正パッチが出る前に、すでに悪用されている脆弱性のことだよ。つまり「対策ゼロ日」の状態で攻撃が始まっているから怖いんだ。今回のは実際に悪用が確認された、いわゆる「in the wild」の状態だったんだよ。

WebGPUはブラウザからGPUの性能をフルに引き出すための新しいAPI規格だよ。ブラウザ上でゲームを動かしたり、機械学習の推論を走らせたり、3Dデータの可視化をしたりするのに使われてるんだ。従来のWebGLの後継として注目されてるね。

「Use-After-Free（解放済みメモリの使用）」というタイプのバグだよ。ChromeのWebGPU実装である「Dawn」というライブラリの中で、すでに解放されたメモリ領域にアクセスしてしまう問題があって、攻撃者が細工したWebページを開かせるだけで、任意のコードを実行できる可能性があったんだ。

Chrome 146.0.7680.177より前のバージョンが影響を受けるよ。WindowsとMacは146.0.7680.177/178、Linuxは146.0.7680.177に更新すれば安全。まだアップデートしてない人はすぐに更新してほしいね。

かなり多いペースだね。まだ4月なのに4件目だから、月1件以上のペースだよ。背景にはWebGPUのようにブラウザが扱う機能が年々増えていることがあるんだ。機能が増えれば攻撃対象の面（アタックサーフェス）も広がるからね。

いい質問だね。DawnはChromiumというオープンソースプロジェクトの一部だから、Chromiumベースのブラウザ全部に影響するよ。Microsoft Edge、Opera、Braveなども同じエンジンを使っているから、それぞれアップデートが必要なんだ。

そのとおり。ちなみにエンジニア視点で面白いのは、Use-After-Freeはメモリ安全でない言語（CやC++）で起きやすいバグなんだ。Googleは今、ChromeのコードをRustのようなメモリ安全な言語に段階的に書き換える取り組みを進めているよ。将来的にこういったバグは減っていくはずだけど、まだ道半ばだね。

まずはChromeを常に最新に保つこと。chrome://settings/help にアクセスすれば自動更新が走るよ。あとは不審なリンクを踏まないという基本も大事。企業の管理者なら、ブラウザの自動更新ポリシーを有効にしておくことが重要だね。ゼロデイは防げないけど、パッチ適用のスピードが被害を分けるんだよ。