Chrome 148のCORS脆弱性CVE-2026-7968が問う「パッチ速度」——Windows企業環境のブラウザ管理を見直せ

Chrome 148で修正されたCORS処理の脆弱性CVE-2026-7968は、「中程度」という評価に安心してはいけない典型例だ。企業のWindows環境では、マルチブラウザ運用とパッチ管理の複雑さが重なり、想定外のリスクを生む可能性がある。

CVE-2026-7968とは何か

2026年5月6日、GoogleはChrome 148（バージョン148.0.7778.96）をリリースし、CORS（Cross-Origin Resource Sharing）処理における入力検証不備の脆弱性を修正した。CVSSスコアは5.4（中程度）だが、実環境での影響はスコアを上回りうる。

CORSはブラウザが「どの外部サイトからのリクエストを許可するか」を制御するセキュリティ機構だ。この脆弱性では、リダイレクトやカスタムヘッダーを伴う特定条件下でAccess-Control-Allow-Originヘッダーの検証が不十分となり、攻撃者が細工したページを通じて、ユーザーがログイン中のサービスからデータを読み取れる可能性があった。

攻撃にはユーザー操作（悪意あるサイトへの訪問）が必要だが、昨今のフィッシング攻撃の巧妙さを考えると、これは大きなハードルではない。

WindowsとChromeの組み合わせが特にリスクが高い理由

Windowsのデスクトップブラウザ市場でChromeのシェアは65%を超える。企業環境ではGoogle WorkspaceやSaaSへのアクセスにChromeを使うケースが多く、Microsoft 365やActive Directoryの認証情報と同一ブラウザセッション上に共存することも珍しくない。

SSOで複数クラウドサービスを連携している環境では、ブラウザセッションから漏洩した情報が横断的なアカウント侵害に発展するリスクがある。「CVSSが中程度だから後回し」の判断は危険だ。

Microsoft EdgeとWindowsパッチ管理の現実

ChromiumベースのEdgeも同じ脆弱性の影響を受けたが、MicrosoftはWindows Update経由でEdge 148.0.7778.96を同日にリリースした。EdgeはWindows Updateと統合されているため、管理されたWindows環境ではパッチ展開が比較的スムーズだ。

問題はChromeだ。多くの企業でChromeはIT管理の「グレーゾーン」にある。Google Updateはプロキシやファイアウォールポリシーによってブロックされるケースがあり、Intuneなどのエンドポイント管理でChrome更新を制御していない場合、脆弱なバージョンが放置されるリスクが残る。

実務での活用ポイント

1. ブラウザ棚卸しから始める まず社内のChrome/Edgeバージョンを把握する。IntuneのDevice Complianceポリシーや構成管理ツールで現状を可視化し、古いバージョンを特定することが第一歩だ。

2. Chromeの集中管理を検討する Google Admin（Workspace）やサードパーティのEMM/MDMでChromeポリシーを配布し、更新チャンネルと強制再起動タイミングを制御する。「ユーザーに任せる」は管理戦略ではない。

3. Edgeへの統一を段階的に進める EdgeとChromeが混在しているなら、可能な範囲でEdgeに統一してWindows Updateの恩恵を受ける。完全統一が難しい場合でも、少なくともChromeの更新状況を監視対象に加えることが最低ラインだ。

4. SSOとブラウザセキュリティを紐づけて考える フェデレーション認証やSSOを使っている企業は、ブラウザの脆弱性がアイデンティティリスクに直結することを意識する必要がある。Azure AD条件付きアクセスで古いブラウザバージョンをブロックする仕組みも有効な選択肢だ。

筆者の見解

今回のCVEを受けて改めて感じるのは、「パッチ適用速度」と「管理の境界」の問題だ。

ゼロトラストの議論が進む一方、多くの企業ではブラウザがIdPと直結し、実質的なアクセス境界になっている。そのブラウザのパッチ管理が「野良Chrome」の温床になっているとしたら、ゼロトラスト設計のどこかに見落としがある。

MicrosoftがEdgeをWindows Updateに統合した判断は正しいと思う。ユーザーが意識せずともセキュリティ更新が届く仕組みは、管理コスト削減とリスク低減を両立している。Chromeとの「マルチブラウザ問題」は、Edgeが「使いたいと思えるブラウザ」としての存在感をさらに高めることで解決の方向に向かうはずだ。その点、今後のEdgeのエクスペリエンス向上に期待している。

パッチ適用の判断について一言添えると、中・大規模企業では「数日様子を見る」戦略が合理的な場合もある。だが、今回のようなブラウザのCORS系脆弱性は例外扱いにすべきだ。影響範囲の広いブラウザCVEは最優先で対応する基準をあらかじめ決めておくことが、現代のセキュリティ管理において欠かせない判断軸になってきている。

出典: この記事は CVE-2026-7968 and Chrome 148: Patch Speed Matters for Windows Security の内容をもとに、筆者の見解を加えて独自に執筆したものです。