Docker Engine「認可バイパスの危険」が再浮上、過去の“不完全な修正”に起因：Docker、アップデートと回避策を呼び掛け

「Docker Engine」に認可プラグインをバイパスしてホストシステムに不正アクセスできる深刻な脆弱性が公表された。修正版となる「Docker Engine 29.3.1」が公開され、アップデートが推奨されている。

[＠IT]

　コンテナ実行環境「Docker Engine」において深刻度「High」の脆弱（ぜいじゃく）性「CVE-2026-34040」が2026年4月に公開された。認可プラグインをバイパスしてホストシステムへの不正アクセスを可能にするもので、過去に修正された脆弱性「CVE-2024-41110」への対処が不完全だったことに起因するとみられる。

認可プラグインを“擦り抜ける”脆弱性

　企業の本番運用環境では、管理者が認可プラグイン「AuthZ」を利用して「Docker API」へのアクセスを制御する場合がある。認可プラグインは、受信したAPIリクエストの内容を検査し、ユーザーが特定の操作を実行する権限を持っているかどうかを判定する。

　今回の脆弱性では、攻撃者が巧妙に細工した過大なリクエストボディを含むAPIリクエストを送信すると、Dockerデーモンが認可プラグインにリクエストを転送する際にボディを破棄する。リクエストボディを検査できない認可プラグインは不正なペイロードを検出できず、本来拒否すべきリクエストを承認してしまう。

　CVE-2026-34040は、「CVSS v3.1」の評価によると、システムへの何らかのアクセス権限（ローカルアクセス）と低権限のみでエクスプロイトを実行できる脆弱性を示している。攻撃の複雑性は低く、ユーザーの操作も不要とされている。攻撃に成功した場合は、コンテナを脱出してホストシステムを侵害する可能性がある。

影響範囲と対応策

　影響を受けるのは認可プラグインを使用してリクエストボディの検査でアクセス制御を行っている環境に限られる。AuthZプラグインを使用していないDocker環境は影響を受けない。

　Dockerの開発チームは「Docker Engine 29.3.1」で同脆弱性を修正しており、システム管理者およびセキュリティチームに対して直ちにアップデートするよう呼び掛けた。即座にアップデートできない環境向けには、以下の回避策が推奨されている。

• リクエストボディの検査に依存するAuthZプラグインの使用を避ける
• 「Docker API」へのアクセスを信頼できるユーザーに限定する
• 全てのコンテナ環境で最小権限の原則を徹底する