Googleは2026年6月25日(現地時間)、デスクトップ向けブラウザ「Chrome」の安定版(Stable)セキュリティアップデートを公開しました。修正されたのは深刻度「高(High)」の脆弱性3件で、いずれも悪用されれば任意コード実行などにつながりうる種類のものです。前回のアップデートからわずか2日での連続リリースであり、情シスにとっては「またか」という頻度になっています。
結論から言えば、今回の3件は現時点で悪用報告は確認されていませんが、Chromeは社内のほぼ全端末に入る基盤ソフトです。自動更新が効いているかを含め、配信状況を確認しておくのが安全です。
この記事でわかること
- 今回修正された脆弱性3件の概要と深刻度
- 影響を受けるバージョンと、更新後のバージョン番号
- なぜ短期間で連続更新が出るのか、情シスはどう向き合うべきか
何が起きたのか
今回のアップデートで、Chromeの安定版は以下のバージョンに更新されました。社内で配布・管理しているバージョンと照らし合わせてください。
| OS | 更新後のバージョン |
|---|---|
| Windows / macOS | 149.0.7827.201 / .200 |
| Linux | 149.0.7827.200 |
修正された脆弱性は次の3件で、Googleはいずれも深刻度を4段階で2番目に高い「高(High)」と評価しています。
| CVE番号 | 脆弱性の種類 | 影響を受けるコンポーネント |
|---|---|---|
| CVE-2026-13281 | 整数オーバーフロー | Mojo(プロセス間通信) |
| CVE-2026-13282 | 解放済みメモリ使用(Use-After-Free) | Payment |
| CVE-2026-13283 | 解放済みメモリ使用(Use-After-Free) | AdFilter |
「Use-After-Free(解放済みメモリ使用)」とは、すでに解放したメモリ領域を誤って再び参照してしまう不具合で、攻撃者に悪用されると不正なコードの実行やクラッシュにつながりうる代表的な脆弱性類型です。整数オーバーフローも、想定外の値によってメモリ操作を誤らせる起点になり得ます。いずれもブラウザ単体で踏みうる経路があるため、放置は避けたいところです。
悪用の有無と、6月のChromeを取り巻く状況
今回の3件について、Googleは悪用が確認されているとは公表していません。過度に慌てる必要はありませんが、2026年6月のChromeは更新が立て込んでいる点には注意が必要です。6月上旬には、JavaScriptエンジン「V8」のゼロデイ脆弱性(CVE-2026-11645)が実際に悪用された状態で緊急修正されており、その後も短い間隔でセキュリティ更新が続いています。
つまり「今回の3件は未悪用だから後回しでよい」と単純に判断するのではなく、6月の一連の更新がきちんと端末に適用されているかをまとめて点検するのが実務的です。
現場目線の課題 ― 「2日で連続更新」の重み
正直なところ、ブラウザの更新が月に何度も走る状況は、情シスにとってそれなりの負担です。Chromeは原則として自動更新されますが、現場では次のような「適用されない端末」が必ず残ります。
- 長期間ブラウザを再起動していない端末(更新はダウンロードされても、再起動するまで適用されない)
- スリープ運用やシャットダウンしない運用で、更新チェックが回りきっていない端末
- グループポリシーや管理ツールで自動更新を意図せず抑制してしまっている端末
限られた人員で全端末の細部まで目を届かせるのは難しく、「自動更新に任せているはず」が思い込みになりがちです。連続更新が続くいまだからこそ、配信状況を“見える化”する仕組みの価値が増しています。
情シスはどうすべきか
やることはシンプルですが、確実に。
- バージョンの実態確認:管理ツールやインベントリで、社内端末のChromeが上表のバージョン以上になっているかを確認する。
- 適用の促し:未適用が残る場合は、利用者に「Chromeの再起動(更新の完了)」を案内する。アドレスバーに
chrome://settings/helpを開けば更新確認と再起動ができます。 - 管理配信の点検:Chrome Enterprise(Chrome Browser Cloud Management 等)でバージョン強制や自動更新ポリシーを運用しているか、抑制設定が残っていないかを見直す。
脆弱性対応そのものの優先度判断や、組織的なパッチ運用の考え方については、自前でチェックリストを増やすより公的機関の指針に立ち返るのが近道です。中小企業であればIPA「中小企業の情報セキュリティ対策ガイドライン」が、運用の優先順位づけの土台になります。あわせて、利用者自身に「更新を促されたら早めに再起動する」という習慣を根づかせる地道な啓発(IPA「対策のしおり」等)も、頻発する更新の取りこぼしを減らします。
中長期の視点
ブラウザは「最も攻撃にさらされるアプリ」であり、Chromeの更新頻度が高いのは、それだけ攻撃対象として狙われ続けている裏返しでもあります。個別の更新を都度追いかけるより、「バージョンを強制し、未適用を自動で検知・是正する」運用に寄せていくことが、長期的には情シスの負担を確実に下げます。今回のような小さな連続更新は、その仕組みが機能しているかを試す“リハーサル”と捉えると前向きです。
まとめ
- Googleが2026年6月25日にChromeを更新し、深刻度「高」の脆弱性3件(CVE-2026-13281/13282/13283)を修正。Windows/macOSは149.0.7827.201/.200、Linuxは.200。
- 今回の3件は悪用報告なし。ただし6月はゼロデイ修正を含め更新が立て込んでおり、一連の更新の適用状況をまとめて点検したい。
- 自動更新任せにせず、バージョンの実態確認・再起動の促し・管理ポリシーの点検を。優先度判断や運用設計はIPA等の公的指針に立ち返るのが近道。
出典
- Google「Chrome Releases(Stable Channel Update for Desktop)」 https://chromereleases.googleblog.com/(一次情報。各更新の修正CVEと報奨対象を掲載)
- Security NEXT「『Chrome』が脆弱性を修正 – 前回アップデートから2日」 https://www.security-next.com/186427
- 参考(6月上旬のV8ゼロデイ):CVE-2026-11645 – NVD https://nvd.nist.gov/vuln/detail/CVE-2026-11645
- IPA「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/guide/sme/index.html
