報告から約29カ月——重大度「S1」と分類されながらも未修正と報じられる、Chromiumベースのブラウザの深刻な脆弱性が明らかになったとAndroid Authorityが伝えています。さらに衝撃的なのは、ブラウザやコンピューター自体を再起動したあとも、攻撃者との接続が残存しうるとされている点です。Google Chrome や Microsoft Edge を含む幅広いブラウザが影響を受ける可能性があると報じられています。

So What?(あなたへの影響): あなたのブラウザが知らない間に攻撃の踏み台にされ、電気代やネットワーク帯域が無断で使われる可能性があるとされています。レシピサイトや検索結果から開いたごく普通のページであっても、裏側で持続的な接続が確立される恐れがあるという指摘です。

Browser Fetch の悪用でブラウザがボットネット化する可能性

問題の中心にあるのは「Browser Fetch」と呼ばれるウェブ標準の仕組みだと報じられています。これはタブを閉じても大容量ファイルや動画のダウンロードをバックグラウンドで継続できるよう設計されたものとされ、利便性のために永続的な接続を維持する性質を持っていると説明されています。なお、この仕組みが攻撃に転用されうるとの指摘は研究者によるもので、Google による設計意図の公式な説明として確認されたものではないという見方もあります。

セキュリティ研究者の Lyra Rebane 氏は、攻撃者がこの仕組みを悪用して、ユーザーのブラウザとリモートサーバーの間に長時間維持されるバックグラウンド接続を作り出せる可能性があると指摘したと伝えられています。レシピサイトや Reddit のリンク、検索結果から開いたごく普通のページに見える Webサイトであっても、裏側で持続的な接続を確立し、ページを離れたあとも稼働し続ける構造があるとされています。

その結果として、ブラウザが匿名プロキシ(あなたのブラウザを経由して他者の通信が中継される状態)として利用されたり、悪意のあるトラフィックを中継したり、分散型サービス拒否(DDoS)攻撃に加担させられたり、閲覧活動に関する限定的な情報が漏れたりする可能性があると報じられています。実行のためにアプリのインストールや怪しいポップアップのクリック、権限の付与は不要で、サイトを開くだけで成立しうるとされている点が特徴だと指摘されています。

報告から約29カ月、Google は「S1」と分類しつつも未修正と報じられる

Rebane 氏は、この問題を非公開で Google に報告したとされています。同氏の説明によれば、Google のエンジニアは当初これを「深刻な脆弱性」として認め、社内で重大度の2番目に高い「S1」に分類したと伝えられています。

しかし、それから約29カ月が経過した現在も、Chromium のバグトラッカー上で修正がユーザーに届いていないと報じられています。さらに、概念実証(PoC)のエクスプロイトコードが公開済みであるとも伝えられています。

Rebane 氏は対応の遅さについて、「ファイル・パスワード・メールを直接露出させるものではないため、即時対応の対象になりにくい、危険ではあるが破滅的とは判断されにくいグレーゾーンに落ちた」との見方を示したと伝えられています。同氏は過去にも Chrome のセキュリティ問題を報告してきた経緯があり、対応の遅さはブラウザのセキュリティ業界では珍しくないものの、今回の遅延は際立っていると指摘しています。

再起動しても消えない接続——検知はほぼ不可能とされる

今回の脆弱性が厄介な点は、ユーザー側からの検知が極めて難しいことだと報じられています。一部の Chromium ブラウザでは、ブラウザやコンピューター自体を再起動したあとも接続が残存する可能性があるとされており、一般的なユーザーが異変に気付く手段はほぼないと伝えられています。

項目内容
影響Chromiumベースのブラウザ(Chrome、Edge 等)
悪用される仕組みBrowser Fetch のバックグラウンド接続維持機能
想定される被害匿名プロキシ化、DDoS への加担、閲覧活動の限定的な露出
社内分類S1(重大度2番目)
経過時間報告から約29カ月経過後も未修正と報じられる
PoC公開概念実証コードが公開済みと伝えられる

検知の難しさについては、Microsoft Edge ではダウンロード関連のポップアップが一瞬表示されるものの、実際にはファイルがダウンロードされないケースがあると Rebane 氏は指摘したと伝えられています。Chrome も同様の挙動を示すことがあるとされていますが、初回以降は警告自体が出なくなる可能性もあり、ほとんどの利用者はブラウザの一時的な不具合として見過ごしてしまうと考えられます。

Chromium は Chrome や Edge にとどまらず、現代のウェブブラウザ市場の大半を支えていると報じられています。ブラウザを軽量のボットネットに静かに編入できる脆弱性が、これほどの期間放置されていることが事実なら、その含意は決して小さくないという見方も示されています。

打つ手は「怪しいサイトを開かない」だけ——修正の見通しは立たず

公開された情報の範囲では、修正版の提供時期について Google からの公式な説明は確認されていません。Rebane 氏らセキュリティ研究者の観測情報を含めても、修正パッチの配信予定は明らかにされていないと伝えられています。

ユーザー側にできることが限られている以上、現実的な対処は素性のわからないサイトや不明なリンクを開かないという基本動作の徹底にとどまります。リーク段階の脆弱性ではなく PoC が公開されている案件である点も踏まえ、続報を注視しつつ、ブラウザの動作に違和感を覚えた場合には早めに完全終了・再起動を試すなどの慎重な姿勢で様子を見るのが妥当な判断と考えられます。

Google がエクスプロイトコードを公開、攻撃能力の輪郭が明らかに

Googleは2026年5月20日、Chromiumベースのブラウザに残る未修正脆弱性に対するエクスプロイトコードを公開したと伝えられています。攻撃者はBrowser Fetchを利用してユーザーのブラウザ利用状況の一部を監視できるとされ、悪用の具体像が外部からも検証可能になった形です。

「将来の別の脆弱性」との組み合わせという懸念

発見者のLyra Rebane氏は2022年後半に非公開でGoogleへ報告したと説明しています。Rebane氏自身の投稿によれば、Edgeではユーザーが何ら違和感を覚えることなく、ブラウザを閉じたあともC2サーバーとの接続が維持されると述べられています。

  • 別の脆弱性が新たに利用可能になった場合、攻撃者はそれを介して取り込み済みの多数の端末をまとめて侵害できる可能性が指摘されています
  • 検知の難しさと組み合わさることで、長期にわたって攻撃インフラとして温存される懸念があるとされています

2026年のChromiumゼロデイ多発と隔週リリース化の動き

2026年に入り、Chromiumには複数の深刻なゼロデイが相次いで発覚しています。2月にはCSSコンポーネントのuse-after-freeであるCVE-2026-2441が緊急修正され、3月にはSkia 2DグラフィックスライブラリのCVE-2026-3909とV8エンジンのCVE-2026-3910がいずれも実環境での悪用を伴って修正されました。4月にはWebGPU実装Dawnのuse-after-freeであるCVE-2026-5281が修正されています。

修正サイクル短縮という対応策

Googleは2026年9月から、Chromeのベータ版と安定版を2週間ごとにリリースする方針を打ち出しています。

背景には脆弱性悪用の加速があります。Google Threat Intelligence Groupは2025年に実環境で悪用されたゼロデイを90件追跡しており、2024年の78件から増加しています。関連APIではBackground Fetch APIの脆弱性CVE-2026-1504が2026年1月に研究者Luan Herrera氏から報告され、3,000ドルの報奨金とともに修正されています。

Q&A

Q. この脆弱性はどのブラウザに影響しますか? Chromium をベースとするブラウザが対象とされており、Google Chrome や Microsoft Edge などが含まれます。Chromium は現代のブラウザの大きな部分を支えているとされているため、影響範囲は広いと報じられています。

Q. すでに修正パッチは公開されていますか? 現時点で公に確認された修正版はなく、Google からパッチ提供時期に関する説明も確認されていません。報告から約29カ月が経過しても未修正と報じられている状態だと伝えられています。

Q. 今すぐできるセルフチェック手順はありますか? 公開情報の範囲では、確実なセルフチェック手順は示されていません。手がかりとして挙げられているのは、Edge で「ファイル実体のないダウンロード関連ポップアップが一瞬出る」挙動とされていますが、Chrome では初回以降は警告自体が出なくなる可能性があるとされ、一般ユーザーが感知することはほぼ難しいと報じられています。違和感を覚えた場合は、ブラウザを完全終了し、不要なタブを開き直さないという運用面の工夫が現状とりうる対処の一つだと考えられます。

出典