Chromiumベースのブラウザに、ユーザー操作なしでブラウザを乗っ取りボットネットに組み込まれる可能性がある脆弱性が存在すると報じられています。Android Authorityが伝えた内容によれば、問題はかなり以前にGoogleへ報告されたものの、長期間が経過した現在も修正が公開されていないとされています。
Browser Fetchを悪用する仕組み
問題の中心は、Chromiumに搭載されている「Browser Fetch」と呼ばれる仕組みです。本来はタブを閉じた後でも大容量ファイルや動画のバックグラウンドダウンロードを続けられるよう設計された機能ですが、独立系セキュリティ研究者のLyra Rebane氏の調査によれば、この同じ仕組みを悪用することで、ブラウザとリモートサーバーの間に長時間維持される接続を作り出せる可能性があるとされています。
攻撃者は悪意あるウェブサイトを通じてこの接続を確立し、訪問者のブラウザを匿名プロキシとして使ったり、DDoS(分散型サービス妨害)攻撃のトラフィック中継に利用したり、限定的な閲覧情報を引き出したりできる可能性があるとAndroid Authorityは報じています。アプリのインストールも、ポップアップのクリックも、権限の付与も不要で、サイトを開くだけで成立し得るという点が特徴とされています。
「気づきようがない」という不気味さ
通常のマルウェアとは異なり、攻撃のすべてがブラウザ内部で完結する点も大きな問題だと伝えられています。一部のChromium系ブラウザでは、ブラウザを閉じたりPCを再起動したりした後も接続が維持される場合があると報じられています。Microsoft Edgeでは、ファイルが実際にダウンロードされないにもかかわらずダウンロード関連のポップアップが一瞬表示されることがあり、Chromeでも似た挙動が確認されるとされていますが、初回以降はその警告すら表示されなくなる可能性があるといいます。
Android Authorityによれば、一般のユーザーには「ブラウザの一時的な不具合」にしか見えず、攻撃を受けていることを認識する手段がほぼないという点が、今回の脆弱性を特に厄介なものにしていると報じられています。
長期放置の経緯とGoogleの位置づけ
Rebane氏によれば、Googleのエンジニアは当初この報告を「重大な脆弱性」として受け止め、社内で同社の重大度ランクの中で2番目に高い「S1」に分類したとされています。それにもかかわらず、修正は長期間にわたってユーザーに届いていないと伝えられています。
Rebane氏は、この脆弱性がファイル・パスワード・メールといった機微なデータを直接漏えいさせるタイプではないため、「危険ではあるが即時対応を引き起こすほど破滅的ではない」という曖昧なグレーゾーンに落ち込んでしまった可能性があると述べているとされています。ChromiumはChromeやEdgeを含め現代のブラウザ市場の大部分を支える基盤であり、Android Authorityは、それを密かにボットネットに組み込み得る脆弱性が長期間放置されていることのインパクトは小さくないと報じています。
Android Authorityによると、現時点で公開された修正パッチは確認されておらず、Googleも修正時期について明らかにしていないと伝えられています。さらに、概念実証(PoC)コードがすでに公に入手可能な状態にあるとされており、悪用のハードルは下がっている可能性があるとAndroid Authorityは報じています。
当面の自衛策
Android Authorityによれば、ユーザー側でできる根本的な対策は限られていると伝えられています。修正版が配布されるまでの間は、出所の不明なサイトを開かない、見慣れないリンクを安易にクリックしないといった基本的なセキュリティ衛生が、現実的な防御手段として挙げられています。Chromiumベースのブラウザを業務でも個人でも常用している環境では、続報と修正リリースを注意深く追うことが推奨される対応として位置づけられています。
誤公開の経緯と影響範囲——「Fixed」扱いでも未修正のまま
BleepingComputerの報道によると、本件は2022年12月にChromium Issue Trackerで有効な脆弱性として受理された後、長期間にわたり社内処理が続いていました。セキュリティ問題としてChrome Vulnerability Rewards Program(VRP)パネルへ送られた際にラベルが更新され、パッチが出荷されていないにもかかわらず2月12日に「fixed」としてマークされ、自動メールでRebane氏に1,000ドルのバグ報奨金が通知されたとされています。5月20日には「14週間以上クローズされ修正済みと記録された」ことを理由にIssue Trackerのアクセス制限が解除され、同日Rebane氏が検証したところ、問題はChrome Dev 150およびEdge 148で依然として再現したと伝えられています。
影響を受けるChromium派生ブラウザ
影響範囲はGoogle Chrome、Microsoft Edge、Brave、Opera、Vivaldi、Arcを含むすべてのChromium系ブラウザに及ぶとされています。なおTechSpotは内部分類について、優先度「P1」・重大度「S2」という別の格付けで扱われていたと報じています。
2026年に相次ぐChromeゼロデイ修正との対比
本件が長期間放置されている一方で、Googleは2026年に入ってから複数のゼロデイ脆弱性を緊急パッチで処理してきました。直近の修正状況を整理すると以下のようになります。
| 時期 | CVE | コンポーネント | 修正バージョン |
|---|---|---|---|
| 2月 | CVE-2026-2441 | CSS(use-after-free) | 145.0.7632.75/76 |
| 3月 | CVE-2026-3909/3910 | Skia/V8 | 146.0.7680.75/76 |
| 4月 | CVE-2026-5281 | Dawn(WebGPU) | 146.0.7680.177/178 |
CVE-2026-2441は2026年最初のChromeゼロデイとして扱われ、Stable Channelの臨時アップデートが投入されました。3月の二件はSkiaのout-of-bounds writeとV8 JavaScript/WebAssemblyエンジンの不適切な実装に起因するもので、いずれも悪意あるWebページの閲覧だけで悪用が成立し得るとされています。さらに4月にはCISAがCVE-2026-5281を既知の悪用脆弱性(KEV)カタログに追加し、連邦政府機関に4月15日までの修正適用を義務付けています。このように実害が確認されたゼロデイは短期間で塞がれている事実が、Browser Fetch問題の長期滞留の異質さを際立たせています。
Q&A
Q. この脆弱性は自分のChromeにも影響しますか? 報じられている内容を踏まえると、Chrome・Microsoft Edgeを含むChromiumベースのブラウザ全般が影響を受ける可能性があるとされています。特定のバージョン情報は公表されていません。
Q. 自分のブラウザが悪用されているか確認できますか? Rebane氏の説明では、検出は非常に難しいとされています。Edgeでファイルを伴わないダウンロード関連のポップアップが一瞬出る、Chromeで似たような挙動がある、といった兆候が報告されていますが、初回以降は警告すら出ない可能性があると伝えられています。
Q. Googleからの修正はいつ提供されますか? Android Authorityによれば、現時点で公開された修正パッチや具体的な提供時期は確認されていないと報じられています。Googleからの公式な見解も明らかにされていない状況とされています。
