AIアバターの裏側で腐食する基盤 —— Zoom 7.0.0が隠蔽する『Chromiumゼロデイ』の真実
導入:華やかなメジャーアップデートの嘘 2026年3月24日、Zoomはバージョン 7.0.0 を華々しくリリースしました。「AI Companion 3.0」や「AIアバター」といった最新機能を前面に押し出し、次世代のコミュニケーションツールとしての進化を謳っています。しかし、その輝かしい発表の裏側で、リリースノートに刻まれたのは 「Minor bug fixes」 という、あまりに無責任な一行でした。 この「魔法の言葉」によって隠蔽された、深刻なセキュリティ上の懸念を解剖します。 第1の罪:野生のゼロデイ「Skia × V8」チェーンへの沈黙 最も看過できないのは、Chromiumエンジンにおける致命的なゼロデイ脆弱性への対応状況です。 Googleは2026年3月10日、既に野生での悪用が確認されている CVE-2026-3909 (Skia) および CVE-2026-3910 (V8) の修正を完了しました。CISA(米サイバーセキュリティ・インフラセキュリティ局)も即座にこれらを KEV(悪用が確認された脆弱性)カタログに追加し、警戒を呼びかけています。 技術的な深刻度 CVE-2026-3909 (Skia): 描画エンジンにおける Out-of-bounds write。メモリ破壊を引き起こす。 CVE-2026-3910 (V8): JavaScriptエンジンにおける不適切な実装。サンドボックス脱出を可能にする。 これらを組み合わせることで、細工されたHTMLページを表示するだけでリモートからシステムを完全に乗っ取ることが可能な「必殺のチェーン攻撃」が成立します。Chromiumを内蔵しているZoomにとって、これは「対岸の火事」ではありません。しかし、Zoomが3月10日に公開したセキュリティ速報(ZSB)は、自社固有の軽微なバグを語るのみで、この巨大な地雷については口を閉ざしたままです。 第2の罪:物理的に不可能なパッチサイクル 次に、リリースのタイミングという物理的な矛盾が浮上します。 GoogleがWebGL関連の8件の深刻な脆弱性(CVE-2026-4673〜、CVSS 8.8)を修正したChromeをリリースしたのは、3月23日のことです。そのわずか 24時間後 に、Zoom 7.0.0 はリリースされました。 大規模なソフトウェアのビルドと回帰テストの工程を考えれば、この24時間という短期間で最新のChromiumパッチを統合し、検証を終えてリリースすることは限りなく不可能です。つまり、Zoom 7.0.0 は、修正版Chromeから攻撃コードが逆算(リバース)される 「1Day攻撃」 の絶好のターゲットとして、無防備に市場へ投入された可能性が極めて高いのです。 第3の罪:徹底した「Chromium」の抹消と隠蔽 さらに巧妙なのは、製品構造の変化です。これまでのバージョンに存在した libcef.dll(Chromium Embedded Framework)が削除され、代わりに見慣れない libcml.dll というコンポーネントへ不透明な形で統合されています。 特筆すべきは、この libcml.dll のファイルサイズが 15,116 KB(約15MB)にも達している 点です。単一のライブラリとしてはあまりに巨大であり、削除された libcef.dll の機能をバイナリレベルで飲み込み、事実上のカプセル化(難読化)を施したと考えるのが自然です。 実際、バイナリ内の文字列を確認すると、その隠蔽体質はさらに顕著になります。通常の Chromium ベースのアプリケーションであれば、strings コマンドをかければ大量の “Chrome” や “Chromium” という識別文字列、およびエンジン由来のバージョン番号がヒットします。しかし、libcml.dll においてそれらは徹底的に抹消されており、ヒットするのは Zoom 自身のビルド番号(7.0.0.x)のみという、極めて異常な状態にあります。 ...