Linuxカーネルに深刻な脆弱性 PoCでは100回から2000回の試行で悪用成功:stable系にも影響
Linuxカーネルの深部で見つかった欠陥が、想像以上に危険な波紋を広げている。一般ユーザー権限しか持たない攻撃者が、わずかな“終了処理の隙”を突くことでroot専用情報に到達可能だという。PoCも公開済みのため要注意だ。
Linuxカーネルに、重大な権限昇格につながる脆弱(ぜいじゃく)性が見つかった。カーネル内部の欠陥として報告されており、識別番号は「CVE-2026-46333」。一般ユーザー権限しか持たない攻撃者でも、条件次第でroot権限ユーザーしか読めない機密ファイルにアクセスできる恐れがある。
SSH秘密鍵窃取を実証、広がる衝撃
問題の原因は、「Linux」のデバッグ機能「ptrace」に関連する権限制御処理「__ptrace_may_access」にある。本来、この処理では「dumpability」と呼ばれる値を使い、プロセスのメモリや情報にアクセス可能かどうかを判定する。しかし今回の欠陥では、特定条件下でこの確認処理がスキップされてしまうことが判明した。
具体的には、プロセス終了時のごく短いタイミングで、メモリ管理情報(mm構造体)が既に解放されている一方、ファイルディスクリプタ(fd)がまだ残っている状態が発生する。この“わずかな隙”を悪用すると、攻撃者は別プロセスが開いていたroot権限ファイルのfdを奪取できる。
特に問題視されているのが、「pidfd_getfd」を悪用した攻撃手法だ。これは他プロセスが保持しているfdを取得できるLinuxの機能で、本来は安全なプロセス管理用途を想定している。しかし今回の脆弱性により、権限チェックをすり抜ける可能性がある。
セキュリティベンダーのQualysは、この問題について「dumpability」を本来想定外の権限判定にも流用していた設計上の問題を指摘した。従来のLinuxでは、uid/gid一致やcapability制御によって保護していたが、それだけでは不十分なケースが存在したという。
修正版カーネルでは、メモリ管理情報が消失した後でも直前の「dumpability」状態を保持する「last dumpability」キャッシュ処理を導入。これにより、権限チェックが正しく機能するよう修正された。また、カーネルスレッドについては初期状態でアクセス不可とし、「CAP_SYS_PTRACE」権限を持つ場合のみ例外的に許可する仕様に変更されている。
脅威を現実味のあるものにしているのが、既にPoC(概念実証)が公開されている点だ。公開された「ssh-keysign-pwn」は、SSHホスト秘密鍵を窃取するデモとなっている。Linuxの「ssh-keysign」は、SSH認証時に利用される秘密鍵ファイル「/etc/ssh/ssh_host_*_key」を開いたまま保持する挙動があり、攻撃者はその終了直前を狙って競合処理を発生させることで、秘密鍵を読み取れる可能性がある。
PoCの説明では、100回から2000回程度の試行で成功したケースが確認されたという。つまり、単なる理論上の欠陥ではなく、実際に悪用可能性が高い脆弱性として認識されている。
さらに別のPoC「chage_pwn」では、Linux認証情報を格納する「/etc/shadow」の読み取り例も示された。「/etc/shadow」にはパスワードハッシュが保存されており、攻撃者がこれを入手した場合、オフラインで総当たり解析(ブルートフォース攻撃)を実施できる。パスワード強度が低い環境では、認証情報漏えいにつながる危険性がある。
影響範囲も広く、検証済み環境として「Debian 13」「Ubuntu 22.04/24.04/26.04」「Arch Linux」「CentOS 9」「Raspberry Pi OS Bookworm」など、主要ディストリビューションが挙げられている。「stable」系カーネルにも影響が及んでおり、2026年5月14日(米国時間)時点では一部環境で修正版が未反映だった。
また今回の問題は、ヤン・ホルン氏が2020年時点で、類似するfd奪取リスクについて既に注意喚起していたことでも注目されている。PoCが公開されたことで、短期間のうちに実際の攻撃に悪用される可能性も高まっている。
SSH秘密鍵が流出した場合、攻撃者は対象サーバになりすましたり、中間者攻撃を仕掛けたりできる可能性がある。さらに内部ネットワーク内で横展開を進め、他サーバ侵害へ発展するリスクもある。一方、「/etc/shadow」が漏えいした場合は、パスワード解析を通じて認証突破につながる恐れがある。
対策としては、修正版Linuxカーネルへの更新が最優先となる。加えて、SSHホスト鍵のローテーション、/etc/shadowへのアクセス監査、ptrace関連システムコールやpidfd関連挙動の監視も推奨される。特に、複数ユーザーが利用するサーバ環境や、一般ユーザーがローカルアクセス可能な環境では、侵害成立の可能性が高まるため、迅速な対応が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
NGINXのrewrite機能に「緊急」の脆弱性 “見落とし設定”がRCEの入り口に
「NGINX」に、認証不要で悪用可能な“危険すぎる欠陥”が見つかった。たった一つのHTTPリクエストが、サーバ停止や遠隔コード実行(RCE)につながる可能性もあるという。問題は標準構成にも潜み、影響範囲は想像以上に広い。運用担当者が今すぐ確認すべきポイントとは。
連鎖感染するnpmワーム「Mini Shai-Hulud」 特徴は「ランサム性」? どう守る? 専門家の見解
GitHub Actionsを“感染源”にしてnpmの数百パッケージを侵害するマルウェアキャンペーン「Mini Shai-Hulud」が、開発者コミュニティーを震撼させている。この攻撃の特徴は“自己増殖”と“ランサム化”だという。一体どう対策すべきか。
LinuxカーネルのゼロデイをAIが発見 悪用で簡単にroot権限奪取が可能に
Linuxカーネルに約9年間にわたり見過ごされてきた致命的なローカル権限昇格の脆弱性「Copy Fail」が突如浮上した。この脆弱性を悪用すれば、一般ユーザーが極めて簡単にroot権限を取得できる。さらにこの発見を後押ししたのはAIだという。
GitHub侵害で銀行連携停止 マネーフォワード事案が突き付ける開発リスク
マネーフォワードは認証情報漏えいによるGitHubへの不正アクセスを受け、ソースコードや一部個人情報が流出したと公表した。銀行連携機能まで一時停止に追い込まれた今回の事案は、開発現場に潜む見落とされがちなリスクを浮き彫りにしている。
NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。