「また更新か」――そう思った読者も多いだろう。グーグルのブラウザ「Chrome」が、わずか1週間のうちに2度の大型セキュリティ更新を立て続けに配信した。しかも1回目は、なんと429件もの脆弱性をまとめて修正するという、Chrome史上最多の更新だった。利用者は世界で約35億人
これを見て正直に思った。「これはもう、人間が手で見つけている数じゃないな」と
ファクトチェック:今回確認できた事実
・米国時間6月2日の更新で429件を修正(Chrome史上最大)
・米国時間6月10日の更新で72件を修正(うち17件が緊急)
・悪用コードが出回るゼロデイ(修正前に攻撃手法が判明した脆弱性)「CVE-2026-11645」を含む
※件数・内容はフォーブス日本版およびセキュリティ各社の公開情報をもとに確認。
1週間で2連発、何が起きたのか
まず事実の整理からいこう。今回の騒動は、立て続けに配信された2つの更新で構成されている。規模の大きさで言えば1回目が圧倒的だが、危険度で言えば2回目を軽く見てはいけない。なぜなら、すでに実際の攻撃に使えるエクスプロイト(悪用コード)が出回っているゼロデイが含まれているからだ。
| 配信日(米国時間) | 修正件数 | ポイント |
| 6月2日 | 429件 | Chrome史上最多。AIツールの影響が大きいと指摘される |
| 6月10日 | 72件 | うち17件が緊急。悪用済みゼロデイ1件を含む |
問題のゼロデイは「CVE-2026-11645」。ChromeのJavaScript処理エンジン「V8」における領域外メモリアクセスの不具合で、細工したウェブページを開かせるだけで攻撃が成立しうる。発見した研究者には、グーグルから5万5000ドル(約882万円)のバグ報奨金が支払われた。修正版はChrome「149.0.7827.102/.103」
まだ更新していない読者は、この記事を閉じる前に「設定」から更新を確認してほしい。
なぜ史上最多「429件」なのか
ここが今回の核心だ。フォーブス日本版の記事は、この429件という異常な数について、明確にこう書いている。
「これは主に、AIツールが脆弱性発見のプロセスに与えている影響によるものだ」
これは極めて納得感のある説明だ。従来、脆弱性の発見は、熟練した研究者が膨大なコードを読み、ファジング(無数の異常データを送り込んで挙動の異常を探す手法)を回し、地道に当たりを付けていく職人技の世界だった。1人の研究者が1年に見つけられる重大な穴は、そう多くない。それが、いきなり数百件単位で一気に修正される時代に入った。発見のボトルネックが「人間の数と時間」から外れ始めた、と見るのが自然だろう。
AIによる脆弱性発見、最前線で何が起きているか
「AIが脆弱性を見つける」というのは、もはや未来の話ではない。すでに動いている。代表的なものを並べてみよう。
| 名称 | 開発元 | 何をするか |
| Big Sleep | グーグル(DeepMind+Project Zero) | 未知の脆弱性を自律的に探索。実環境の穴を多数発見 |
| XBOW | スタートアップ | 自動でペネトレーションテストを行うAIエージェント |
| RunSybil | スタートアップ | AIによる脆弱性探索を自動化 |
| AIxCC | 米DARPA主催 | AIで脆弱性を見つけ自動修正する技術コンテスト |
特に象徴的なのがグーグルの「Big Sleep」だ。大規模言語モデル(LLM=文章を理解・生成するAIの基盤技術)を使い、人手を介さずにコードの穴を探す。2024年11月に実環境の脆弱性を初めて発見して以来、成果を積み重ね、オープンソースソフトの脆弱性を20件まとめて報告した実績もある。さらにグーグルは、攻撃者しか知らなかったSQLiteの重大な穴を、攻撃が始まる前にBig Sleepで突き止め、未然に塞いだとも公表している。「攻撃される前に直す」という、防御側にとって理想の構図が現実になりつつあるのだ。
これは諸刃の剣だ――攻撃側もAIを手にしている
ここで浮かれてばかりはいられない。防御側がAIで穴を見つけられるということは、攻撃側も同じ武器を持てるということだ。グーグルの脅威情報チームは、実際の攻撃の現場で「AIが生成したエクスプロイトが使われた初の事例」を確認したと報告している。国家が背後にいるとされる攻撃グループが、脆弱性発見にAIを活用することへ強い関心を示している、という指摘もある。
つまりこういうことだ。AIによって発見スピードが上がれば、防御側の修正も速くなるが、攻撃側の悪用準備も速くなる。先に見つけて先に塞ぐか、先に見つけて先に突かれるか。これからのセキュリティは、AI対AIの「発見速度の競争」へとフェーズが移っていく。今回の「1週間で2連発」は、その競争が日常になった合図だとIT小僧は受け止めている。
そういえば……Androidの連日更新も、AIが理由なのか
ここで読者の中にも、思い当たる節がある人がいるのではないか。スマホを開くたびに、Androidの「Playストア」でアプリの更新が連日のように降ってくる、あの現象だ。
「最近やけに多いな」と感じていた人――その直感は、たぶん間違っていない。
もちろん全部がAI発見によるものだと断言はできない。新機能の追加や不具合修正も当然含まれる。だが、AIによる脆弱性発見が各所で本格稼働し始めた今、見つかる穴の総量そのものが増えているのは間違いない。OS本体だけでなく、無数のアプリのコードに対してもAIの目が向けられれば、修正の頻度が上がるのは理の当然だ。「更新が増えた」という体感は、業界の構造変化の表れと見ていいだろう。
IT小僧の本音コラム
429件という数字を見たとき、少しゾッとした。安心したのではない。「これまで、これだけの穴が見つからないまま放置されていた」という事実を突き付けられた気がしたからだ。AIが見つけているのは“新しく生まれた穴”ではない。ずっとそこにあったのに、人間の手が回らず見過ごされていた穴だ。
これは裏を返せば、世の中のソフトウェアには、まだ膨大な未発見の脆弱性が眠っているということでもある。AIがそれを片端から掘り起こす時代に入った。当面、私たちは「更新疲れ」と付き合い続けることになるだろう。だが、面倒だからと更新を放置するのは、最も愚かな選択だ。
更新通知は、もはや「邪魔者」ではない。AIが夜通し穴を探し、誰かが先に直してくれた証だと思えば、あの通知も少しは愛おしく見えてくる……かもしれない。
現場のエンジニア・IT管理者がいま取るべき行動
評論だけでは現場は回らない。明日からできる現実的な対応を、優先度順に整理しておく。
| 優先度 | やるべきこと |
| 最優先 | Chromeを最新版へ。再起動まで完了させて初めて適用される点に注意 |
| 高 | 社内端末の自動更新が有効か確認。止めている運用なら方針を見直す |
| 中 | 更新頻度の増加を前提に、検証・適用フローの自動化を検討する |
| 継続 | 緊急更新の情報源を確保し、ゼロデイ速報を見逃さない体制を作る |
特に企業のIT管理者に伝えたいのは、「更新の数が増える」ことを前提にした運用設計へ切り替える必要がある、という点だ。月に1回の定例適用というリズムは、もう通用しなくなりつつある。検証と適用をいかに省力化・自動化するか――そこが次の勝負どころになる。
まとめ
Chromeの「1週間で2連発」「史上最多429件」という出来事は、単なるブラウザの不具合騒動ではない。AIが脆弱性発見の主役に躍り出た、という時代の転換点を示す象徴的なニュースだ。
これから、ソフトウェアの脆弱性やバグは、AIによって次々と掘り起こされていくだろう。更新は増え、対応は忙しくなる。だがそれは、世界が確実に少しずつ安全になっている証でもある。あとは私たちが、その更新をきちんと適用するかどうか。技術がどれだけ進歩しても、最後のひと手間を担うのは、いつだって現場の人間なのだから。
参考:フォーブス日本版「35億人が対象、Chromeに悪用済みゼロデイ脆弱性」、グーグル公式ブログおよびセキュリティ各社の公開情報。件数・固有名はいずれも公開時点の情報に基づく。
