GoogleがChromium未修正脆弱性のエクスプロイトコードを誤公開——29ヶ月放置のまま、Chrome・Edge全ユーザーに影響

米テクノロジーメディア Ars Technica は5月20日、Googleが未修正のChromium脆弱性に関するエクスプロイトコードを誤って一般公開したと報じた。この脆弱性はGoogle ChromeやMicrosoft Edgeをはじめ、事実上すべてのChromiumベースブラウザに影響するとみられており、世界中の数百万人規模のユーザーが潜在的なリスクにさらされている。

29ヶ月放置された脆弱性の中身

この脆弱性は、独立系セキュリティ研究者のLyra Rebane氏が2022年末にGoogleへ非公開報告したものだ。報告から29ヶ月以上が経過した現在も、パッチは未提供のままだという。

問題の核心は「Browser Fetch API」にある。このAPIは大容量ファイルをバックグラウンドでダウンロードする際などに使われるウェブ標準だが、悪意のあるサイト上のJavaScriptを通じて「サービスワーカー」を持続的に起動させることができる。この接続はブラウザや端末を再起動しても維持される点が厄介だ。

Ars Technicaが明かす攻撃の可能性

Ars TechnicaのDan Goodin記者の報道によると、このエクスプロイトを悪用された場合、攻撃者は以下のことが可能になるという。

• ユーザーのブラウジング行動の一部をモニタリング
• 匿名プロキシ経由でのサイトアクセス
• DDoS攻撃の踏み台として利用
• 端末を「限定的なボットネット」の一部として組み込む

Rebane氏はArs Technicaの取材に対し、「エクスプロイトコードの使用自体は比較的容易だが、大規模なボットネットを構築するにはさらなる作業が必要」と説明している。また、Chromiumのバグトラッカーに投稿された際、開発者2名がそれぞれ「深刻な脆弱性」とコメントしており、深刻度評価は2番目に高い「S1」が付与されていた。

誤開示という二重の問題

2026年5月20日、この脆弱性情報がChromiumのバグトラッカー上で突如として一般公開される事態が発生した。Rebane氏は当初「ついにパッチが当たったのでは」と思ったというが、実際には脆弱性は未修正のまま情報だけが露出してしまったと判明。Googleはその後投稿を削除したが、アーカイブサイトにはエクスプロイトコードを含む情報が今も残存している。

Ars Technicaによれば、Googleは「なぜ公開したのか」「いつ修正されるのか」という取材への回答を即答しなかったとのこと。Rebane氏は同メディアに「セキュリティ境界を明示的に越えるタイプの脆弱性でないため、担当者の理解が追いつかず対応が長引いたのではないか」と推測している。

Microsoft Edgeへの特別な影響

Ars Technicaの記事では、Edgeでの悪用が特に検出しにくいことが指摘されている。JavaScriptの実行時に「ダウンロードのドロップダウンウィンドウが開く場合があるが、何もアイテムが追加されない」という挙動があり、以降のブラウザ起動ではそのウィンドウすら表示されなくなるという。

日本市場での注目点

日本ではChromeのブラウザシェアが圧倒的に高く、企業環境ではMicrosoft 365との連携が深いEdgeも広く採用されている。この脆弱性はChromiumベースのブラウザ全体に影響するため、Chrome・Edge・Brave・Vivaldi・Opera等、日本のユーザーが日常的に使用するほぼすべての主要ブラウザが対象となる。

現時点では公式パッチが提供されていないため、ユーザーが取れる対策は限られている。信頼できないサイトへのアクセスを避け、不審なリンクをクリックしないという基本的なセキュリティ習慣が、現状では最も有効な防衛手段だ。パッチのリリース時期についてはGoogleの公式アナウンスを待つ必要がある。

筆者の見解

今回の問題は、脆弱性そのものの深刻さに加え、「誰がいつ何を公開したか」という開示プロセスの失敗が重なった二重の問題だ。

29ヶ月という放置期間は、「明確なセキュリティ境界を越えない」グレーゾーンの脆弱性が組織内でどれほど扱われにくいかを示している。被害が可視化されにくいため優先度が下がりがちだが、ボットネット形成の踏み台になりうる以上、軽視できる話ではない。

Microsoft Edgeを主力ブラウザとして採用している日本の企業環境にとっては、特に気になる話だ。EdgeはChromiumベースである以上、今回の問題はChromeと同等の影響を受ける。MicrosoftにはChromiumの上流プロジェクトの脆弱性対応状況を注視し、Edgeユーザーへの情報提供と独自の緩和策の検討に力を入れてほしいところだ。

情報が誤って公開され、削除後もアーカイブに残存しているという状況は、攻撃者にとって「開幕宣言」に等しい。一刻も早いパッチのリリースを期待したい。

出典: この記事は Google publishes exploit code threatening millions of Chromium users の内容をもとに、筆者の見解を加えて独自に執筆したものです。