「Google Chromeってよく更新されるけど、そんなに大事なの?」——脆弱性をアップデートで防御する方法を解説します

スマホ・PCの守り方

実は、Chrome の更新はセキュリティ上の「穴」=脆弱性を塞ぐための緊急作業であることがほとんどです。放置してしまうと、普通にウェブを閲覧しているだけで、パスワードや個人情報が盗まれたり、PCを遠隔操作されるリスクがあります。

この記事では、初めてサイバーセキュリティを学ぶ方に向けて、

  • Chrome の脆弱性とは何か(専門用語をわかりやすく解説)
  • 2025〜2026年に実際に起きた主要な脆弱性とその内容
  • 今すぐできるアップデートの手順(Windows・Mac・スマホ別)
  • 自分を守るために知っておきたい習慣

を、ファクトに基づいてわかりやすく解説します。

“この記事のポイント”

  • 2026年だけですでに数十件の脆弱性が Chrome で修正されている
  • 「ゼロデイ脆弱性」と呼ばれる即座に攻撃が始まる危険な穴も確認済み
  • 対策はシンプル:最新版にアップデートして再起動するだけ

  1. 1. そもそも「脆弱性」って何?
  2. 2. なぜ Chrome は狙われやすいのか
  3. 3. 【ファクト】2025〜2026年に確認された主要な Chrome 脆弱性
    1. 3-1. 2026年3月10日:「重大」含む20件以上の脆弱性を一括修正
    2. 3-2. 2026年3月3日:3件の「重大」脆弱性を修正(Chrome 145)
    3. 3-3. 2026年2月23日:3件の「高」レベル脆弱性を緊急修正
    4. 3-4. 2026年1月6日:年明け最初のアップデート(Chrome 143)
    5. 3-5. 2026年最初のゼロデイ脆弱性:CVE-2026-2441(実際に悪用確認済み)
    6. 3-6. 2025年の重大事例:CVE-2025-4664(CISA が連邦職員に対策を義務化)
  4. 4. Chrome の脆弱性でよく使われる攻撃の種類(用語解説)
  5. 5. 今すぐできる!Chrome アップデートの手順
    1. 5-1. Windows / Mac の場合
    2. 5-2. Android の場合
    3. 5-3. iPhone / iPad(iOS)の場合
  6. 6. Microsoft Edge ユーザーも他人事ではない
  7. 7. なぜ Google はこんなに頻繁にアップデートするのか
    1. Google のセキュリティ研究チーム「Project Zero」
    2. Chrome のリリースサイクル
  8. 8. アップデート以外にできるセキュリティ対策
    1. 8-1. 拡張機能を整理する
    2. 8-2. フィッシングサイトに注意する
    3. 8-3. Chrome の「セーフブラウジング」を有効にする
    4. 8-4. パスワードマネージャーを活用する
    5. 8-5. OSも最新状態に保つ
  9. 9. スマートフォンの Chrome も忘れずに
  10. 10. まとめ:「後でやろう」が一番危ない
  11. 参考情報

1. そもそも「脆弱性」って何?

脆弱性(ぜいじゃくせい)とは、ソフトウェアやシステムにあるセキュリティ上の欠陥や設計ミスのことです。家の鍵に例えると、「鍵穴の形が微妙に歪んでいて、特定の形のピックで簡単に開いてしまう」ような状態です。

悪意ある攻撃者(ハッカー)は、この欠陥を突くことで

  • 利用者のパスワードやクレジットカード番号を盗む
  • PCやスマホを遠隔操作する
  • 偽のウェブページに誘導してフィッシング詐欺を行う

といった攻撃を仕掛けてきます。

ブラウザは、インターネットとあなたのデバイスをつなぐ「窓口」です。その窓口に穴が開いていれば、外から何でも入ってきてしまいます。だからこそ、Google は Chrome の脆弱性を発見するたびに、できる限り素早く修正版をリリースしているのです。”CVE番号とは?” 脆弱性には「CVE-2026-3913」のような番号が振られます。CVEは「Common Vulnerabilities and Exposures」の略で、世界中で共通して使われる脆弱性の識別番号です。「年-通番」で構成されており、この番号でどの脆弱性のことを指しているか、世界中のセキュリティ専門家が共通して認識できます。

2. なぜ Chrome は狙われやすいのか

Google Chrome は世界で最もシェアの高いウェブブラウザです。StatCounter のデータによると、2026年現在もデスクトップブラウザ市場の60%超を占めており、攻撃者にとって「最も多くの被害者を狙えるターゲット」となっています。

また、Chrome は非常に複雑なソフトウェアです。ウェブページを表示するために

  • V8:JavaScriptコードを高速実行するエンジン
  • Blink(レンダラー):HTMLを解析して画面に描画するエンジン
  • ANGLE / Skia:グラフィック(画像・動画・アニメーション)を処理するコンポーネント
  • WebML:AI・機械学習関連の処理を担う新しいコンポーネント

など、数百万行のコードが複雑に絡み合っています。コードが複雑になればなるほど、バグや設計ミスが生まれやすく、脆弱性が潜むリスクも高まります。

さらに近年は、AI機能の搭載によって新しいコンポーネントが次々と追加されており、それに伴って新たな脆弱性も生まれやすい状況が続いています。[alert title=”「自分は狙われない」は危険な思い込み”] 「有名人でもないし、特別なものを持っていない自分は狙われない」——そう思っていませんか?攻撃者は特定の個人を狙うのではなく、脆弱なブラウザを使っている不特定多数のユーザーを一網打尽にする手法を使います。むしろ「自分は関係ない」と思っている無防備なユーザーほど被害に遭いやすいのです。

3. 【ファクト】2025〜2026年に確認された主要な Chrome 脆弱性

ここからは、実際に報告・修正された脆弱性を時系列で紹介します。難しい専門用語は都度かみ砕いて解説しますので、安心して読み進めてください。

3-1. 2026年3月10日:「重大」含む20件以上の脆弱性を一括修正

2026年3月10日、Googleはデスクトップ版およびAndroid版 Chrome に対して、深刻度「重大(Critical)」を含む大規模なアップデートを公開しました。

最も深刻な脆弱性として報告されたのが CVE-2026-3913 です。これは Chrome の「WebML」(AI処理コンポーネント)に存在する「ヒープバッファオーバーフロー」という種類の脆弱性です。”ヒープバッファオーバーフローとは?”「ヒープ」はプログラムが動的にデータを保存するメモリ領域のこと。「バッファオーバーフロー」は、そのメモリ領域に収まりきらない量のデータを無理やり詰め込む攻撃手法です。溢れたデータが隣の記憶領域を上書きし、攻撃者が用意したプログラムを動かせる状態になってしまいます。

同アップデートでは、このほか「高(High)」レベルの脆弱性も多数修正されました。主なものを以下に示します。

CVE番号深刻度場所・種類
CVE-2026-3913🔴 重大(Critical)WebML:ヒープバッファオーバーフロー
CVE-2026-3914🟠 高(High)WebML:整数オーバーフロー
CVE-2026-3915🟠 高(High)WebML:ヒープバッファオーバーフロー
CVE-2026-3916🟠 高(High)Web Speech:境界外読み取り
CVE-2026-3917🟠 高(High)エージェント:解放後使用(Use-after-free)
CVE-2026-3918🟠 高(High)WebMCP:解放後使用
CVE-2026-3919🟠 高(High)拡張機能:解放後使用
CVE-2026-3922🟠 高(High)MediaStream:解放後使用
CVE-2026-3925🟡 中(Medium)LookalikeChecks:セキュリティUI誤り

3-2. 2026年3月3日:3件の「重大」脆弱性を修正(Chrome 145)

Googleは2026年3月3日、Chrome 145.0.7632.159 / 145.0.7632.160 をWindows・Mac・Linux向けにリリースしました。今回のアップデートでは10件の脆弱性が修正され、そのうち3件が最高レベルの「重大(Critical)」と評価されました。

修正されたCritical脆弱性の内訳は以下のとおりです。

  • CVE-2026-3536:グラフィック処理コンポーネント「ANGLE」における整数オーバーフロー(2026年2月18日に外部研究者が報告)
  • CVE-2026-3537:「PowerVR」におけるオブジェクトライフサイクルの不備(2026年1月8日に報告)
  • CVE-2026-3538:グラフィックライブラリ「Skia」における整数オーバーフロー(2026年2月17日に報告)

“整数オーバーフローとは?” プログラムが扱える数字の範囲を超えた値を計算しようとしたとき、数値が「桁あふれ」して全く異なる値になってしまう現象です。電卓で「9999999999 + 1」を計算しようとしたら表示がバグってしまうイメージです。これを巧みに利用すると、プログラムの動作をおかしくさせることができます。

3-3. 2026年2月23日:3件の「高」レベル脆弱性を緊急修正

2026年2月23日のアップデート(Windows/Mac向け:145.0.7632.116 / 117、Linux向け:145.0.7632.116)では、深刻度「高(High)」の脆弱性が3件修正されました。

  • CVE-2026-3061:メディア処理コンポーネントにおける境界外読み取り(Out of bounds read)
  • CVE-2026-3062:グラフィック処理「Tint」における境界外読み取り/書き込み(Out of bounds read and write)
  • CVE-2026-3063:DevToolsにおける不適切な実装

“境界外アクセス(Out of bounds)とは?” プログラムが本来アクセスしてはいけないメモリの範囲に読み書きしてしまう脆弱性です。マンションで例えると、自分の部屋(101号室)の鍵で隣の部屋(102号室)のドアも開けられてしまうようなイメージです。攻撃者はこれを利用して、他のプログラムが持つ機密情報を盗み見たり、データを書き換えたりします。

3-4. 2026年1月6日:年明け最初のアップデート(Chrome 143)

2026年1月6日(米国時間)、GoogleはChrome 143 の安定版をリリースしました。修正されたのは1件の脆弱性ですが、深刻度は「高(High)」です。

  • CVE-2026-0628:「WebViewタグ」におけるポリシー適用の不備。2025年11月に外部の研究者によって報告されました。

Windows・Mac向けはバージョン 143.0.7499.192 または 143.0.7499.193、Linux・Android向けは 143.0.7499.192 へのアップデートが案内されました。

3-5. 2026年最初のゼロデイ脆弱性:CVE-2026-2441(実際に悪用確認済み)

この中でも特に注目すべきが、CVE-2026-2441です。これは2026年に入って最初に確認されたゼロデイ脆弱性であり、Googleも実際に悪用されていることを公式に認めました。[alert title=”ゼロデイ脆弱性とは?”] 修正パッチが提供される前に、脆弱性が攻撃者に発見・悪用されてしまっている状態のことです。「ゼロデイ(0日)」という名前は、開発者が問題を知った日から対応できるまでの猶予が「0日」であることに由来します。これが最も危険な脆弱性の状態とされています。

CVE-2026-2441 の仕組みは CSSフォント処理における「解放後使用(Use-after-free)」です。

ChromeはWebページのデザイン(フォントの種類や大きさ)を理解するためにメモリを使います。「解放後使用」とは、一度使い終わって「空き」になったはずのメモリを、攻撃者が別の目的のために再利用してしまう脆弱性です。

この脆弱性が悪用されると、攻撃者は以下のようなことが可能になります。

  • ブラウザ内で任意のプログラムを実行する(悪意あるコードを動かす)
  • Chromeが突然クラッシュし、作業中のデータが失われる
  • Chrome に保存されているパスワードやクレジットカード情報が漏洩する

しかも、細工された悪意あるHTMLページを開くだけで攻撃が成立します。つまり、「変なファイルをダウンロードしなければ大丈夫」は通用しないのです。

3-6. 2025年の重大事例:CVE-2025-4664(CISA が連邦職員に対策を義務化)

2025年に発見された CVE-2025-4664 は、ChromeのIPCレイヤー(プロセス間通信部)「Mojo」における脆弱性です。セッション認証情報を含む文字列が外部に漏洩するリスクがあり、攻撃者はこれを悪用してユーザーになりすましたログインやセッションの再現が可能になります。

この脆弱性は米国土安全保障省サイバーセキュリティ機関(CISA:Cybersecurity and Infrastructure Security Agency)が重大視し、すべての連邦政府職員に対して期限を設けてアップデートを義務化するという異例の措置が取られました。”CISAとは?” アメリカの連邦政府機関で、国家のサイバーセキュリティと重要インフラの防衛を担います。CISAが警告を出すことは、その脆弱性が国家レベルで危険視されていることを意味します。日本で言えば、内閣サイバーセキュリティセンター(NISC)に近い役割です。

4. Chrome の脆弱性でよく使われる攻撃の種類(用語解説)

ここまで様々な専門用語が登場しました。整理してまとめておきましょう。

用語わかりやすい説明
ヒープバッファオーバーフローメモリの「作業スペース」に収まりきらないデータを詰め込んで、隣の領域を上書きする攻撃
整数オーバーフロー計算結果が扱える数字の上限を超えてバグを引き起こす攻撃
解放後使用(Use-after-free)使い終わって「空き」になったメモリに不正アクセスする攻撃
境界外アクセス(Out of bounds)本来アクセスしてはいけないメモリ領域に読み書きする攻撃
ゼロデイ脆弱性修正パッチがない状態で攻撃者に発見・悪用されている脆弱性
サンドボックスChromeが各タブを他のプロセスから隔離する安全領域。これを突破されると深刻な被害につながる

5. 今すぐできる!Chrome アップデートの手順

Chrome は通常、バックグラウンドで自動的にアップデートされます。ただし、アップデートが完全に適用されるには「再起動」が必要です。Chromeを何日も起動しっぱなしにしていると、アップデートがダウンロードされているのに適用されていない状態が続きます。

以下の手順で、今すぐバージョンを確認・更新しましょう。

5-1. Windows / Mac の場合

  1. Chrome を開き、右上の「︙(縦3点)」メニューをクリック
  2. 「ヘルプ」→「Google Chrome について」を選択
  3. 現在のバージョンが表示され、自動的に更新確認が始まります
  4. 「Chrome は最新版です」と表示されればOK。アップデートがある場合は画面の指示に従ってください
  5. アップデート後は必ず「再起動」ボタンをクリックしてChromeを再起動する

“URL直打ちでも確認できます” アドレスバーに chrome://settings/help と入力してEnterキーを押すと、バージョン確認画面に直接アクセスできます。

5-2. Android の場合

  1. Google Play ストアを開く
  2. 右上のプロフィールアイコンをタップ
  3. 「アプリとデバイスの管理」→「更新」タブを選択
  4. 一覧に Chrome が表示されている場合は「更新」をタップ

5-3. iPhone / iPad(iOS)の場合

  1. App Storeを開く
  2. 右上のプロフィールアイコンをタップ
  3. 「利用可能なアップデート」のリストに Chrome があれば「更新」をタップ

“再起動を忘れると意味がありません!”アップデートのダウンロードが完了しても、Chromeを再起動しなければ修正内容が適用されません。「更新した気になっているのに実はまだ古いバージョンのまま」という状態が意外と多いです。アップデート後は必ず一度Chromeを閉じて開き直しましょう。

6. Microsoft Edge ユーザーも他人事ではない

「私はEdgeを使っているから大丈夫」と思っている方も要注意です。

Microsoft Edge は Chromeと同じ「Chromium」というオープンソースエンジンをベースに作られています。そのため、Chrome に発見された脆弱性の多くは Edge にも同様に存在します。CVE-2025-4664 などはその代表例で、EdgeユーザーもMicrosoft Edgeを最新版にアップデートする必要がありました。

EdgeのアップデートはWindowsの「Windows Update」または Edge の「設定 → Microsoft Edge について」から確認できます。

7. なぜ Google はこんなに頻繁にアップデートするのか

「また更新?」と感じる方も多いと思いますが、これはGoogleのセキュリティへの真剣な取り組みの表れです。

Google のセキュリティ研究チーム「Project Zero」

Google は Project Zero という専門の脆弱性研究チームを社内に持っており、Chrome を含む様々なソフトウェアの脆弱性を常に調査しています。また、外部のセキュリティ研究者からの報告には報奨金(バグバウンティ)を支払うプログラムも運営しており、世界中の研究者が協力して脆弱性を見つける仕組みが整っています。

Chrome のリリースサイクル

Chrome は約4週間に1回のペースでメジャーアップデートをリリースしており、その間にも緊急性の高い脆弱性が見つかった場合は随時「マイナーアップデート」として修正版を配布します。これが「毎週のようにアップデートがある」ように感じる理由です。

“頻繁なアップデート=セキュリティへの本気度の高さ” 「こんなに頻繁に更新があるなら、Chromeは欠陥だらけなのでは?」と心配になるかもしれません。しかし実際には逆です。脆弱性を発見したら迅速に修正・公開するサイクルが確立されていることが、Chrome が世界で最もセキュリティ対策が充実したブラウザの一つとされる理由でもあります。問題は発見した後の対応スピードと透明性にあります。

8. アップデート以外にできるセキュリティ対策

Chrome をアップデートするのは最低限の対策です。さらに安全性を高めるために、以下の習慣も取り入れましょう。

8-1. 拡張機能を整理する

Chrome の拡張機能(アドオン)は便利ですが、悪意ある拡張機能や放置された古い拡張機能が攻撃の踏み台になるケースがあります。使っていない拡張機能は削除し、信頼できる開発元のものだけを使うようにしましょう。

確認方法:アドレスバーに chrome://extensions/ と入力してEnter

8-2. フィッシングサイトに注意する

ブラウザのアップデートをしていても、偽サイトに個人情報を入力してしまえば意味がありません。URLが正しいか、鍵アイコン(HTTPS)があるかを確認する習慣をつけましょう。

8-3. Chrome の「セーフブラウジング」を有効にする

Chrome には危険なサイトへのアクセスを警告する「セーフブラウジング」機能があります。「強化保護」に設定すると、より高い精度でフィッシングサイトやマルウェア配布サイトを検知します。

設定方法:設定 → プライバシーとセキュリティ → セキュリティ → 「強化保護」を選択

8-4. パスワードマネージャーを活用する

Chrome に保存したパスワードが脆弱性によって漏洩するリスクを減らすためにも、各サービスに異なるランダムなパスワードを設定することが重要です。Chrome の組み込みパスワードマネージャーや、1Password・Bitwarden などのサービスを活用しましょう。

8-5. OSも最新状態に保つ

Chrome だけでなく、Windows や macOS 自体のアップデートも欠かさず行いましょう。OSの脆弱性は Chrome の脆弱性と組み合わせて攻撃されることがあります。

9. スマートフォンの Chrome も忘れずに

「PCは気をつけているけど、スマホのChromeは後回し」という方が意外と多くいます。しかしスマートフォンは常時ログイン状態のアプリが多く、SNS・ネットバンキング・ショッピングなど個人情報の塊です。

特にAndroid版 Chrome は、2026年3月10日のアップデートでも深刻度「重大」の脆弱性が修正されており、デスクトップ版と同様のリスクが存在します。Google Play ストアで自動更新が設定されているか確認しておきましょう。”スマホの自動更新を確認する方法(Android)” Google Play ストア → 右上のプロフィールアイコン → 「設定」 → 「ネットワーク設定」 → 「アプリの自動更新」が「Wi-Fiのみ」または「常時」になっているか確認

10. まとめ:「後でやろう」が一番危ない

この記事で紹介したように、2026年に入ってからだけでも、Google Chrome では「重大(Critical)」レベルを含む数十件の脆弱性が修正されています。しかもその中には、修正前に実際の攻撃に使われてしまったゼロデイ脆弱性(CVE-2026-2441)も含まれていました。

アップデートの通知を「後でやろう」「面倒くさい」と先送りにしている間、あなたのブラウザには既知の穴が開いたままになっています。攻撃者はその穴を突く方法を知っています。

幸いなことに、対策はシンプルです。

“今日からできる3つのこと”

  1. 🔄 今すぐ Chrome を最新版にアップデートし、再起動する
  2. 🔔 自動更新を有効にして、常に最新状態を保つ(再起動の習慣も大切)
  3. 🛡️ セーフブラウジングを「強化保護」に設定する

サイバーセキュリティは「難しいもの」ではありません。日常の小さな習慣の積み重ねが、最大の防衛になります。このブログでは今後も、初心者の方にわかりやすい形でセキュリティ情報をお届けしていきます。

参考情報

※本記事に記載のCVE番号・バージョン番号・日付は、公開されている報道・公式情報をもとにしています。最新情報は Google の公式リリースノートでご確認ください。

⚠️ この記事は2026年3月14日時点の情報をもとに作成しています。

コメント