GoogleがChromeのWebGPU実装「Dawn」に存在する高深刻度のuse-after-free(解放済みメモリ参照)脆弱性CVE-2026-5281を修正するアップデートをリリースし、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が4月1日付けで既知悪用脆弱性カタログ(KEV)に追加しました。政府機関等に対して緊急のパッチ適用が指示されています。
WebGPUは、ブラウザからGPUに直接アクセスするための最新ウェブ標準です。高性能グラフィクス処理やAI推論をブラウザ内で実行できることから急速に普及が進んでいますが、その複雑な実装が新たな攻撃面を生み出しています。今回の脆弱性は、DawnというChrome内部のWebGPU実装レイヤーに存在し、悪意のあるウェブページを閲覧するだけで攻撃者がリモートからコードを実行できる可能性があります。
X(旧Twitter)では「WebGPU経由のブラウザ攻撃という新しい攻撃面が注目されている。AIモデルをブラウザ内で動かす流れがセキュリティリスクを高めている」という指摘が話題になりました。ブラウザ内でAIモデルを実行するユースケースが増える中、WebGPUへの依存度は今後さらに高まる見通しで、同種の脆弱性が増加するリスクを指摘する声もあります。
CISAのKEVカタログへの追加は、脆弱性がすでに実際の攻撃で悪用されていることを意味します。Hacker Newsでは「KEV追加はすでに野放しで悪用されていることを意味する。今すぐ更新を」という実用的なコメントがトップを獲得し、r/netsecでも「WebGPUは機能的に強力なだけに攻撃面も広い。今後もこの種の脆弱性は増加するだろう」という予測スレッドが立ち上がっています。
Chromeユーザーは設定メニューから「Chromeについて」を開き、最新バージョンへのアップデートを確認することが推奨されます。企業・政府機関においては、CISAが設定する適用期限(4月中)までに全端末へのパッチ展開を完了させることが求められます。WebGPUを活用したAIブラウザアプリの増加とともに、ブラウザセキュリティの重要性はますます高まっていくでしょう。