悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかる:Androidも標的
成功率は約99%。Linuxカーネルで見つかった新たな権限昇格の脆弱性は、極めて短い競合タイミングにもかかわらず、高い確率でroot権限を奪えることが実証された。さらに、この脆弱性はAndroidにも影響する可能性があるという。
ソウル大学校コンピュータセキュリティ研究室のジェヨン・チョン氏は、「Linuxカーネル」の「epoll」サブシステムに、競合状態に起因する「Use-After-Free(メモリ解放後使用)」の脆弱(ぜいじゃく)性「Bad Epoll」(CVE-2026-46242)が存在すると発表した。
未権限のプロセスからroot権限を取得できる恐れがあり、Linuxサーバやデスクトップだけでなく、「Android」端末でも悪用される可能性がある。チョン氏は、この脆弱性をGoogleの脆弱性研究プログラム「kernelCTF」にゼロデイとして報告した。
“成功率は99%” Linuxカーネルのゼロデイ脆弱性「Bad Epoll」とは?
この脆弱性が注目される理由は3つある。
1つ目は、Androidでもroot権限を奪える可能性がある珍しいLinux権限昇格の脆弱性であることだ。Linuxカーネルの権限昇格脆弱性の多くは、Androidで利用されないカーネルモジュールを前提としており、そのままでは悪用できない。一方、Bad EpollはAndroidでも利用されるepollサブシステムに存在するため、Android環境でも成立する。
GoogleのkernelCTFでこれまで悪用された約130件の脆弱性のうち、Androidでroot化まで狙えるものは約10件しかなく、Bad Epollはその一つに数えられるという。「Google Chrome」のレンダラープロセスからも誘発できるため、Webブラウザの脆弱性と組み合わせれば、Chrome経由でカーネル権限を奪う攻撃チェーンに発展する可能性もある。
2つ目は、無効化による回避策が現実的ではない点だ。過去の「Copy Fail」系脆弱性は問題のあるモジュールを無効化することで影響を抑えられたが、epollはLinuxカーネルの中核機能であり、OSやネットワークサービス、Webブラウザなど幅広いソフトウェアが利用している。そのため、根本的な対策は修正版カーネルへの更新しかない。
3つ目は悪用の成功率が非常に高いことだ。競合が発生する時間幅は、わずか約6命令分という極めて短いものだが、研究者は競合タイミングを拡大する手法と、カーネルをクラッシュさせずに繰り返し試行する仕組みを組み合わせることで、最大99%という高い成功率を実現した。
AIが1つ見つけ、1つ見逃した 修正まで2カ月を要した理由
今回の問題は、2023年4月8日(現地時間、以下同)に取り込まれた1つのコミットが、約2500行のepollコードに2つの競合バグを持ち込んだことに起因する。
最初の脆弱性は、AnthropicのフロンティアAI「Claude Mythos」(以下、Mythos)が発見し、「CVE-2026-43074」として報告された。競合バグは静的解析でも発見が難しいことで知られており、この成果は先端AIがレースコンディションを検出できる可能性を示した。その後、この脆弱性の1-dayエクスプロイトも独立研究者によってkernelCTFに投稿されている。
一方、Mythosは同じコードパスに存在していたBad Epollについては発見できなかった。理由は明らかではないが、競合タイミングが極めて短く、コードを読んだだけでは実際のスレッドの競合を想定しにくかったことが一因と考えられている。
さらにCVE-2026-43074の修正後は、Bad Epollによるuse-after-freeがLinuxカーネル標準のメモリエラー検出機構「KASAN」にも通常は検出されなくなった。実行時の痕跡が乏しかったため、実在する脆弱性として確信を持って報告することが難しかった可能性があるという。
修正作業も難航した。2026年2月17日に最初の報告があったが、当初提示された修正案では問題を解決できず、議論は停滞した。その後、CVE-2026-43074の修正が2026年4月2日にメインラインに取り込まれた後、残る問題が同年4月22日に再報告され、同年4月24日に修正コミット「a6dc643c6931」が適用された。正しい修正が取り込まれるまで約2カ月を要したことになる。
研究者は、この脆弱性を悪用するエクスプロイトも公開している。複数のepollオブジェクトを利用してuse-after-freeを発生させ、最終的にカーネルの制御フローを乗っ取ってrootシェルの取得に成功した。
影響を受けるのは、2023年4月8日のコミット「58c9b016e128」でバグが導入されてから、2026年4月24日に修正コミット「a6dc643c6931」が取り込まれるまでのLinuxカーネルだ。v6.4以降をベースにしたカーネルを利用し、修正がバックポートされていないLinuxディストリビューションは影響を受ける可能性がある。一方、v6.1系カーネルはバグ導入前のため影響を受けない。
現在公開されているエクスプロイトは、kernelCTFの「lts-6.12.67」で99%、「cos-121-18867.294.100」で98%の成功率を記録している。Android版エクスプロイトも開発が進められており、「Pixel 10」のv6.6以降ではPoC(概念実証)によるuse-after-freeの発生が確認されている一方、v6.1系を採用するPixel 8などは影響を受けない。影響を受ける環境では、修正版に速やかに更新することが推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?
KDDIで発生した最大1422万件に及ぶ情報漏えい。その背後には、単なる脆弱性悪用では片付けられない攻撃者の狙いが見え隠れしている。ダークWebやOSINT(公開情報調査)から事件を追跡し、流出データの行方や政府系サイバー攻撃との接点、今後想定されるリスクを専門家とともに解説する。
陸自USBからマルウェア検知 防衛省の運用ルール未徹底が明らかに
陸上自衛隊中部方面総監部で使用されていたUSBメモリからマルウェアが検知されていたことが判明した。防衛省・自衛隊が義務付けているウイルスチェックが徹底されていなかったことにより発覚に遅れが生じたと見られる。
生成AIブームの反動? 「AIだけの脆弱性診断」を見限る企業が急増
「AIに脆弱性診断を任せれば、人手不足を補いながら効率良くセキュリティを強化できる」。ソフトバンクをはじめ国内でも複数の企業がAIによる脆弱性診断サービスの立ち上げを発表する中、そんな期待を裏切る調査結果が明らかになった。
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。