CVE-2026-5281はChromeのWebGPU実装「Dawn」に存在するuse-after-free脆弱性で、野生での悪用が確認されCISAのKEVカタログに追加されました。2026年に入り4度目のChromeゼロデイが示すWebGPUという新たな攻撃面の拡大を解説します。
Chromeはなぜ2026年だけで4度もゼロデイに狙われているのか
2026年4月1日、GoogleはChromeの緊急アップデートを公開した。CVE-2026-5281── Dawn(ChromeのWebGPU実装)に存在するuse-after-free(UAF)脆弱性が、すでに野生で悪用されているという。CISAは即日この脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加し、連邦機関に2026年4月15日までのパッチ適用を義務付けた。
これは2026年に入ってからGoogleが緊急対応を迫られた4つ目のChromeゼロデイだ。1月、2月、3月、そして4月。ほぼ1カ月おきに新たなゼロデイが確認されている計算になる。なぜChromeはこれほど集中的に狙われるのか。そしてなぜWebGPUが標的になったのか。
- コンポーネント: Dawn(ChromeのWebGPU標準実装)
- 脆弱性タイプ: Use-After-Free(UAF)
- 深刻度: High
- 悪用条件: レンダラープロセスをすでに侵害した攻撃者が、細工したHTMLページ経由で任意コード実行
- 影響バージョン: Chrome v146.0.7680.177未満(Windows/Mac)、v146.0.7680.177未満(Linux)
- パッチバージョン: v146.0.7680.177/178(Windows/Mac)、v146.0.7680.177(Linux)
- 野生での悪用: 確認済み
- CISA KEV追加: 2026年4月1日(適用期限:4月15日)
Use-After-Free ─ 「解放済みの部屋」に忍び込む攻撃
**Use-After-Free(UAF)**は、最も古典的かつ現代でも最も頻繁に悪用されるメモリ安全性バグの一つだ。
コンピュータのプログラムはメモリ上でオブジェクトを生成・解放しながら動く。正しい実装では、オブジェクトを解放した後にそのアドレス(ポインタ)を使おうとする処理は存在しない。しかしバグがある実装では、「もうそこは空き地になった」という情報が正しく伝わらず、古いポインタがまだ「そのアドレスにオブジェクトがある」と信じたまま操作を試みる。
攻撃者はこの状況を利用する。メモリが解放された直後、そのメモリ領域を攻撃者が制御するデータで「再占有」する。その上で古いポインタを使ってアクセスさせると、本来とは異なるデータを正規のオブジェクトとして扱わせることができ、制御フローのハイジャックへとつながる。
なぜDawn(WebGPU)が標的になったのか
WebGPUはGPUへの高レベルなアクセスをWebアプリに提供するAPIだ。3Dゲーム、機械学習推論、リアルタイム画像処理などを高速化するために設計されており、主要ブラウザで2023〜2024年にかけて本格的に有効化された。
しかしWebGPUは攻撃面の拡大という代償を伴っていた。
- コードの新しさと複雑さ: ChromeのWebGPU実装「Dawn」は数十万行規模の新しいコードベースだ。セキュリティ上の成熟が追いついていない部分がある。
- GPUとCPUの境界: WebGPUはGPUドライバーとの橋渡しをする層であり、ブラウザのサンドボックス外のリソースと接する。
- パーミッション不要のGPUアクセス: ユーザーの許可なく高性能GPU計算が実行できるため、サイドチャネル攻撃の素地にもなる。
CVE-2026-5281はDawn内の特定のリソース管理コードに存在したUAFで、pseudonymousな脆弱性研究者が報告した(この研究者は過去にも複数のWebGPU関連脆弱性を報告している)。
エクスプロイトチェーンとしての位置づけ
重要な点として、CVE-2026-5281単体での悪用には前提条件がある。「レンダラープロセスをすでに侵害した攻撃者が」という条件だ。
これは実際の攻撃がエクスプロイトチェーン、つまり複数の脆弱性を連鎖させることを意味する。
[攻撃チェーンの典型的な流れ]
Step 1: レンダラープロセスの侵害
→ 別の脆弱性(JavaScriptエンジンのバグ等)でChromeのレンダラーに侵入
→ この時点では「レンダラーサンドボックス内」に閉じ込められている
Step 2: CVE-2026-5281 で特権昇格
→ DawnのUAFを悪用してGPUプロセス(高権限)への制御を得る
→ サンドボックスから脱出し、OS権限でのコード実行が可能になる
Step 3: 永続化・横展開
→ マルウェアのインストール・認証情報の窃取・C2への接続このチェーン構造は、現代のブラウザエクスプロイトの標準的なアーキテクチャだ。1つの脆弱性をパッチしても、チェーンの他の部分が残っていれば攻撃者は代替経路を探す。だからこそChromeはサンドボックスの多重化(サイトアイソレーション、V8サンドボックス、MiraclePtr等)に継続的に投資している。
Googleは「たった一つの脆弱性でブラウザ全体が陥落しない」ことを目指して複数の防御層を開発している。
- サイトアイソレーション: 異なるオリジンのWebページを別プロセスで分離する
- V8ヒープサンドボックス: JavaScriptエンジンのメモリ領域をさらに隔離する
- MiraclePtr: ダングリングポインタ(UAFの根源)を検出・無効化するスマートポインタ実装
これらの防御があるため、1つのUAFから直接OSコマンド実行には至りにくい。しかし攻撃者はこれらの防御を迂回するためにチェーンを伸ばし続けている。軍拡競争の様相だ。
2026年のChromeゼロデイが示すトレンド
2026年のChromeゼロデイ4件を並べてみると、興味深いパターンが見える。
| CVE | コンポーネント | タイプ |
|---|---|---|
| 2026年1月(詳細非公開) | V8(JavaScript) | Type confusion |
| 2026年2月(詳細非公開) | Mojo(IPC) | UAF |
| 2026年3月(詳細非公開) | WebRTC | ヒープオーバーフロー |
| CVE-2026-5281 | Dawn(WebGPU) | UAF |
V8・Mojo・WebRTC・WebGPU──すべてネットワークやデバイスと接する境界部分のコンポーネントだ。攻撃者は「サンドボックスに閉じ込められた後でも、そこから出る経路」を体系的に探している。WebGPUが今後も継続的なターゲットになると見る研究者は多い。
今すぐ取るべき行動
エンドユーザー・企業のPC管理者
Chromeの自動アップデートが有効になっているか確認し、ブラウザを即座に再起動する。バージョン確認はchrome://settings/helpから。
確認すべきバージョン(これ以上であれば安全):
Windows/Mac: 146.0.7680.177 以上
Linux: 146.0.7680.177 以上企業のセキュリティチーム
- エンドポイント管理ツール(Jamf・Intune等)でChromeのバージョンコンプライアンスを即座にチェックし、未更新端末を特定する
- 2026年4月1日前後に不審なブラウザプロセスの異常(CPU/GPU使用率の急増、外部への予期しない通信)がないかログを確認する
- Chromeのブラウザポリシーでアップデートを強制する設定を有効にする
ゼロデイは必ずしも大規模な被害をもたらすわけではないが、パッチ適用のスピードが明暗を分ける。ブラウザの更新を「いつかやる」ではなく「今日やる」タスクとして扱う文化が、組織防御の基礎だ。
参考情報
- Google Chrome Releases: Chrome stable channel update (April 1, 2026)
- The Hacker News: New Chrome Zero-Day CVE-2026-5281 Under Active Exploitation
- CISA KEV Catalog: CVE-2026-5281(適用期限 2026年4月15日)
- Help Net Security: Google fixes Chrome zero-day with in-the-wild exploit (CVE-2026-5281)
- Security Affairs: Google fixes fourth actively exploited Chrome zero-day of 2026