【S#32】Chrome 147深刻脆弱性｜日本企業が取るべき対策「再起動」と「管理設定」

本記事は セキュリティ速報シリーズ第32回 です。

2026年4月上旬、Google Chromeのメジャーアップデートとなる「Chrome 147」が公開されました。今回の更新は、垂直タブの導入といった利便性の向上以上に、セキュリティ面での重要度が極めて高いものとなっています。特に「クリティカル」と評価される脆弱性が2件含まれている点は、全てのシステム管理者が見逃せない事実です。

ブラウザの脆弱性は、フィッシングメールや改ざんされたWebサイトを通じて、ユーザーが「ただページを開くだけ」で攻撃を成立させる「ドライブ・バイ・ダウンロード」に悪用される傾向があります。

特に4月は日本の年度初めにあたり、新入社員の入社や組織変更でIT環境の管理が煩雑になりがちな時期です。この隙を狙った攻撃を防ぐため、迅速な対応が求められています。

Chrome 147のリリース概要と深刻度

Security NEXTや窓の杜などの報道によると、Chrome 147では合計で60件もの脆弱性が修正されました。その内訳の中で最も警戒すべきは、深刻度が最高ランクの「Critical（クリティカル）」とされる2件の存在です。

直近の2026年4月1日にも、WebGPU実装「Dawn」におけるゼロデイ脆弱性（CVE-2026-5281）の修正が行われたばかりですが、今回のChrome 147はそれを上回る規模の修正となっています。

技術的なポイント：修正された脆弱性の影響範囲

「クリティカル」脆弱性が招くリスク

通常、Chromeにおける「クリティカル」評価は、攻撃者がサンドボックス（ブラウザの保護領域）を回避し、OSレベルで任意のコードを実行できる可能性を示唆します。

• リモートコード実行 (RCE): 特権を奪取され、PC内のファイルを盗まれたり、ランサムウェアを仕掛けられたりする恐れがあります。
• メモリ破壊: ブラウザのメモリ管理の不備（Use-After-Freeなど）を突き、プログラムの挙動を意図的に狂わされるリスクです。

企業環境における想定攻撃シナリオ

攻撃者は、一見無害なWebサイトに悪意あるスクリプトを埋め込みます。社員が業務中にそのサイトを閲覧した瞬間、バックグラウンドでマルウェアがダウンロードされ、感染したPCを足掛かりに社内のファイルサーバーや顧客データベースへ侵入が拡大します。

日本企業・組織が直ちに取るべき具体的対策

1. ブラウザの即時更新と再起動の徹底

Chromeのアップデートはバックグラウンドでダウンロードされますが、ブラウザを再起動しない限り適用されません。

• 手順: 右上の「︙」メニュー ＞ 「ヘルプ」 ＞ 「Google Chrome について」を開き、更新を確認。
• 重要: 完了後、必ず「再起動」ボタンをクリックするよう社員に周知してください。

2. 管理者による配布制御とバージョン確認

個人任せにせず、組織として以下のバージョン（またはそれ以降）への移行を管理してください。

• Windows/macOS: 147.0.7727.55/56
• Linux: 147.0.7727.55

Microsoft IntuneやGoogle Workspaceの管理コンソールを利用している場合は、強制アップデートのポリシーを適用し、更新未完了の端末を特定して個別に通知を行うのが効果的です。

3. ゼロトラスト環境を見据えたブラウザポリシーの整備

脆弱性は今後も必ず発見されます。根本的な対策として、以下の検討を推奨します。

• ブラウザ隔離（RBI）の導入: Web閲覧自体をクラウド上の仮想環境で行い、手元の端末には描画情報だけを送る仕組みです。
• 拡張機能の制限: 脆弱性の温床になりやすい不要なアドオンを管理者が制限します。

まとめ：今後の見通しと注意点

今回のChrome 147への更新は、単なる機能追加ではなく、組織を守るための「緊急避難」に近い性質を持っています。2026年に入り、ブラウザだけでなくFortinetやIvantiといったネットワーク製品の脆弱性を狙った攻撃も激化しており、攻撃までのスピード（武器化）が格段に早まっています。

「知らんけど」で済まされないのがサイバーセキュリティの世界です。まずは今日中に、社内端末のバージョン確認とアップデートの呼びかけを完了させてください。

※本記事は、当社が2026年4月に社内およびクライアント様へご案内したメール内容を基に、Web読者の皆さまにも有益な情報となるよう加筆・編集のうえ公開しています。

出典・参考