2026年最初のChromeゼロデイ「CVE-2026-2441」緊急対処ガイド：今すぐ更新すべき理由と確認手順

2026年に入って最初に「実際に悪用されている」Chromeのゼロデイ脆弱性が修正されました。放置すると、細工されたWebページを開いただけで攻撃の足がかりを作られる可能性があります。ここでは、何が起きているのかを噛み砕いて説明しつつ、最短で安全な状態に戻すための更新・確認方法、組織PCでの注意点までまとめます。 Chrome Releases+2TechRadar+2

• 2026年最初のChromeゼロデイ「CVE-2026-2441」緊急対処ガイド：今すぐ更新すべき理由と確認手順
  • ゼロデイとは何か、なぜ「今すぐ更新」なのか
  • 何が修正された？CVE-2026-2441の概要
  • まず確認：安全なChromeバージョンはどれ？
  • 最短で終わる更新手順（個人PC向け）
    • Chromeのメニューから更新（推奨）
    • 更新できたかの確認ポイント
  • 会社・学校のPCで特に注意したいこと（管理端末の落とし穴）
  • 更新までの“つなぎ”でできる現実的なリスク低減
  • まとめ：今回の結論はシンプル、「更新して再起動」

ゼロデイとは何か、なぜ「今すぐ更新」なのか

ゼロデイ（0-day）は、開発元が把握する前、もしくは修正が行き渡る前に攻撃者が先回りして突く脆弱性のことです。今回のポイントは「攻撃がすでに現実に起きている」点で、修正パッチが出ている以上、更新の遅れがそのままリスクになります。Google側も“既に悪用が存在する”旨を示しており、猶予を取りづらいケースです。 Help Net Security+1

何が修正された？CVE-2026-2441の概要

今回修正されたのは CVE-2026-2441。ChromeのCSS関連処理における Use-after-free（解放済みメモリの参照） と呼ばれる不具合です。簡単に言うと、プログラムが「もう使い終わって解放したはずの領域」を誤って再利用しようとして、想定外の動作を引き起こします。ブラウザのように複雑でメモリを多用するソフトでは典型的に起こり得ますが、攻撃者に悪用されると“任意コード実行”などの深刻な結果につながることがあります。 TechRadar+1

また、報告から修正までの動きが速く、2026年2月11日ごろ報告→2月13日に安定版へ修正配信とされています。逆に言えば、攻撃側も同じスピード感で動けるため、更新の先延ばしが危険になりやすい状況です。 The Times of India+1

まず確認：安全なChromeバージョンはどれ？

デスクトップ版の安定版（Stable）では、修正版が次のバージョンとして配信されています。

• Windows / macOS：145.0.7632.75 または 145.0.7632.76

• Linux：144.0.7559.75 Chrome Releases+1

手元のChromeがこれ未満なら、更新を優先してください。

最短で終わる更新手順（個人PC向け）

Chromeのメニューから更新（推奨）

1. 右上の「︙」メニュー

2. ヘルプ → Google Chromeについて

3. 自動的に更新チェックが走るので、完了したら 再起動（Relaunch） TechRadar+1

※“更新したつもり”でも、再起動しない限り古いプロセスが残ることがあります。更新後は必ず再起動まで実施してください。

更新できたかの確認ポイント

• 「Google Chromeについて」画面に表示されるバージョン番号が上記の修正版になっているか

• 会社PCなどで更新が止められている場合、IT管理者のポリシーで反映が遅れていないか

会社・学校のPCで特に注意したいこと（管理端末の落とし穴）

組織端末では、更新が段階配信だったり、検証のためにロールアウトが遅れることがあります。しかし今回は「悪用が確認されている」タイプなので、優先度を上げて対応する価値が高い事案です。端末管理をしている側は、少なくとも以下を即日でチェックすると被害確率を下げられます。

• 対象端末のChromeバージョン棚卸し（修正版未満を洗い出し）

• ブラウザ再起動が徹底されているか（ログアウト・再起動がされず“更新済み風”が残る）

• 代替ブラウザ（Chromium系）も同様に更新が必要なケースがあるため、Chrome以外の利用実態も確認

更新までの“つなぎ”でできる現実的なリスク低減

根本対策はアップデートですが、反映までタイムラグが出る環境では、次の運用が効きます。

• 不審リンクを踏まない（特に「急いで確認」「請求書」「アカウント停止」系の誘導）

• ブラウザ拡張機能を整理し、用途不明な拡張は無効化

• 重要作業（決済・管理画面操作）は、更新が完了した端末で実施

• 可能なら自動更新を有効化し、再起動を習慣化（“更新は入っているが再起動していない”が一番多い抜け）

まとめ：今回の結論はシンプル、「更新して再起動」

• 2026年最初のChromeゼロデイ CVE-2026-2441 は、すでに攻撃で悪用されています。 Help Net Security+1

• 修正版は Windows/macOS：145.0.7632.75/76、Linux：144.0.7559.75。 Chrome Releases

• 「ヘルプ → Google Chromeについて」で更新し、必ず再起動して反映を確定させましょう。 TechRadar

ブラウザは毎日使う“入口”なので、ここが抜かれると被害が連鎖しがちです。今日のうちにバージョン確認まで終わらせて、安全側に寄せておくのが得策です。