Googleのウェブブラウザ「Chrome」で、1回のアップデートに含まれる脆弱性修正の件数が急増し、セキュリティ業界で話題になっている。2026年6月初旬に配信された安定版アップデートは、単一リリースとしては過去最多となる規模の修正を一挙に投入した。ブラウザは世界で20億人以上が日常的に使う“インターネットの玄関口”であり、その修正件数の膨張は、攻撃と防御の力学が新しい段階に入りつつあることを示している。
過去最多となった6月の修正
Chrome 149系の安定版は2026年6月2日にWindows/Mac/Linux向けに配信され、複数のセキュリティ企業の集計によると429件の脆弱性が修正された。これは1回のChrome更新としては過去最多で、そのうち22件はリモートでのコード実行やメモリ破壊、サンドボックス回避につながりうる「緊急(Critical)」に分類された。配信バージョンはWindows/Macが149.0.7827.53/.54、Linuxが149.0.7827.53とされる。
最も深刻とされたのはグラフィックスエンジン「ANGLE」の境界外読み書きの欠陥(CVE-2026-10881、CVSS 9.6)で、細工されたHTMLページ経由でChromeのサンドボックスを脱出されるおそれがあると報じられている。報道によると、Googleはこの更新に関わった研究者に総額およそ20万8,000ドルのバグ報奨金を支払い、429件のうち371件は社内で、58件は外部研究者によって検出されたという。
なお、この件数については報道各社で集計にばらつきがあり、429件前後(一部報道では430件超)と幅がある。いずれにせよ「単一更新として過去最多級」という点は各社で一致している。
翌月も“特大”アップデートが続く
修正件数の膨張は一度きりの現象ではない。2026年7月初旬に配信されたChrome 150系の安定版でも、382件の脆弱性(うち緊急15件)が修正されたと報じられている。2か月連続で数百件規模の修正が続いたことになり、複数のメディアが「かつてない大規模更新」と表現している。
さらに6月には、JavaScript/WebAssemblyエンジン「V8」の境界外読み書きの脆弱性(CVE-2026-11645、CVSS 8.8)が実際に悪用(in the wild)されていたことも公表された。この欠陥はChrome 149.0.7827.102などで修正され、報道によると2026年に確認された5件目のChromeゼロデイに当たるとされる。発見者には5万5,000ドルの報奨金が支払われたという。
件数が増えたのは“危険が増えた”からとは限らない
修正件数だけを見ると「Chromeの安全性が急に悪化した」と受け取られがちだが、専門家の見立ては必ずしもそうではない。複数の報道は、GoogleやApple、Microsoftによる脆弱性修正のペースが上がっている背景として、AIを使った脆弱性発見の加速を挙げている。防御側が生成AIや自動化されたファジング(大量の異常入力による検査)を用いることで、これまで見逃されていた欠陥を大量に掘り起こせるようになった、という構図だ。
つまり件数の増加は、「攻撃者に見つかる前に、防御側が先回りして潰せている数」が増えたことの表れでもある。一方で、実際に悪用されたゼロデイが年内に複数確認されている事実は、掘り起こしと攻撃が同時進行していることを示しており、楽観はできない。
利用者・組織が取るべき対応
Chromeの脆弱性修正はバックグラウンドで自動適用される設計だが、更新の反映にはブラウザの再起動が必要になる。件数が多い更新ほど緊急の欠陥や悪用中のゼロデイを含む可能性が高いため、利用者は「更新があるのに再起動を先延ばしにする」状態を避け、こまめに再起動して修正を確定させることが重要だ。組織においては、管理下の端末でChromeが最新の安定版に更新されているかを点検し、特に緊急区分や悪用が確認された脆弱性が含まれる更新については、適用状況を優先的に確認したい。修正件数の“大量化”は、裏を返せば「更新を怠った端末が抱える潜在的な穴」も同じ勢いで増えていることを意味する。
出典・参考リンク
- PCWorld「Chrome 149 fixes 429 security flaws, the most ever in one update」
- SecurityWeek「Chrome 149 Patches 429 Vulnerabilities」
- Forbes「Google Chrome 149: New Update Fixes 429 Security Flaws, 22 Critical」
- Malwarebytes「Chrome needs another whopper update to fix 382 security bugs」
- Help Net Security「Google patches Chrome zero-day exploited in the wild (CVE-2026-11645)」
- The Hacker News「Chrome V8 Zero-Day CVE-2026-11645 Exploited in the Wild」
