悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかるAndroidも標的

成功率は約99%。Linuxカーネルで見つかった新たな権限昇格の脆弱性は、極めて短い競合タイミングにもかかわらず、高い確率でroot権限を奪えることが実証された。さらに、この脆弱性はAndroidにも影響する可能性があるという。

» 2026年07月07日 07時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ソウル大学校コンピュータセキュリティ研究室のジェヨン・チョン氏は、「Linuxカーネル」の「epoll」サブシステムに、競合状態に起因する「Use-After-Free(メモリ解放後使用)」の脆弱(ぜいじゃく)性「Bad Epoll」(CVE-2026-46242)が存在すると発表した。

 未権限のプロセスからroot権限を取得できる恐れがあり、Linuxサーバやデスクトップだけでなく、「Android」端末でも悪用される可能性がある。チョン氏は、この脆弱性をGoogleの脆弱性研究プログラム「kernelCTF」にゼロデイとして報告した。

“成功率は99%” Linuxカーネルのゼロデイ脆弱性「Bad Epoll」とは?

この脆弱性が注目される理由は3つある。

 1つ目は、Androidでもroot権限を奪える可能性がある珍しいLinux権限昇格の脆弱性であることだ。Linuxカーネルの権限昇格脆弱性の多くは、Androidで利用されないカーネルモジュールを前提としており、そのままでは悪用できない。一方、Bad EpollはAndroidでも利用されるepollサブシステムに存在するため、Android環境でも成立する。

 GoogleのkernelCTFでこれまで悪用された約130件の脆弱性のうち、Androidでroot化まで狙えるものは約10件しかなく、Bad Epollはその一つに数えられるという。「Google Chrome」のレンダラープロセスからも誘発できるため、Webブラウザの脆弱性と組み合わせれば、Chrome経由でカーネル権限を奪う攻撃チェーンに発展する可能性もある。

 2つ目は、無効化による回避策が現実的ではない点だ。過去の「Copy Fail」系脆弱性は問題のあるモジュールを無効化することで影響を抑えられたが、epollはLinuxカーネルの中核機能であり、OSやネットワークサービス、Webブラウザなど幅広いソフトウェアが利用している。そのため、根本的な対策は修正版カーネルへの更新しかない。

 3つ目は悪用の成功率が非常に高いことだ。競合が発生する時間幅は、わずか約6命令分という極めて短いものだが、研究者は競合タイミングを拡大する手法と、カーネルをクラッシュさせずに繰り返し試行する仕組みを組み合わせることで、最大99%という高い成功率を実現した。

AIが1つ見つけ、1つ見逃した 修正まで2カ月を要した理由

 今回の問題は、2023年4月8日(現地時間、以下同)に取り込まれた1つのコミットが、約2500行のepollコードに2つの競合バグを持ち込んだことに起因する。

 最初の脆弱性は、AnthropicのフロンティアAI「Claude Mythos」(以下、Mythos)が発見し、「CVE-2026-43074」として報告された。競合バグは静的解析でも発見が難しいことで知られており、この成果は先端AIがレースコンディションを検出できる可能性を示した。その後、この脆弱性の1-dayエクスプロイトも独立研究者によってkernelCTFに投稿されている。

 一方、Mythosは同じコードパスに存在していたBad Epollについては発見できなかった。理由は明らかではないが、競合タイミングが極めて短く、コードを読んだだけでは実際のスレッドの競合を想定しにくかったことが一因と考えられている。

 さらにCVE-2026-43074の修正後は、Bad Epollによるuse-after-freeがLinuxカーネル標準のメモリエラー検出機構「KASAN」にも通常は検出されなくなった。実行時の痕跡が乏しかったため、実在する脆弱性として確信を持って報告することが難しかった可能性があるという。

 修正作業も難航した。2026年2月17日に最初の報告があったが、当初提示された修正案では問題を解決できず、議論は停滞した。その後、CVE-2026-43074の修正が2026年4月2日にメインラインに取り込まれた後、残る問題が同年4月22日に再報告され、同年4月24日に修正コミット「a6dc643c6931」が適用された。正しい修正が取り込まれるまで約2カ月を要したことになる。

 研究者は、この脆弱性を悪用するエクスプロイトも公開している。複数のepollオブジェクトを利用してuse-after-freeを発生させ、最終的にカーネルの制御フローを乗っ取ってrootシェルの取得に成功した。

 影響を受けるのは、2023年4月8日のコミット「58c9b016e128」でバグが導入されてから、2026年4月24日に修正コミット「a6dc643c6931」が取り込まれるまでのLinuxカーネルだ。v6.4以降をベースにしたカーネルを利用し、修正がバックポートされていないLinuxディストリビューションは影響を受ける可能性がある。一方、v6.1系カーネルはバグ導入前のため影響を受けない。

 現在公開されているエクスプロイトは、kernelCTFの「lts-6.12.67」で99%、「cos-121-18867.294.100」で98%の成功率を記録している。Android版エクスプロイトも開発が進められており、「Pixel 10」のv6.6以降ではPoC(概念実証)によるuse-after-freeの発生が確認されている一方、v6.1系を採用するPixel 8などは影響を受けない。影響を受ける環境では、修正版に速やかに更新することが推奨される。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

その「AIコーディング」は本当に必要か?
Microsoft & Windows最前線2026
4AI by @IT - AIを作り、動かし、守り、生かす
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。