コラム

Column

導入事例

Case Study

サイバーニュース

Cyber News

海外のサイバーセキュリティ関連のニュースを日本語でご紹介しています。

お知らせ

News

Linuxの15年越し脆弱性「GhostLock」公開、root権限奪取とコンテナ脱出のおそれ

セキュリティ研究企業Nebula Securityは2026年7月7日、Linuxカーネルに約15年間存在していた脆弱性「GhostLock(CVE-2026-43499)」を公表しました。ログイン済みの一般ユーザーが特別な権限を持っていなくても、未修正のLinux環境で最高権限のrootを取得できる可能性があります。研究チームはコンテナからの脱出にも成功しており、実証コードも公開されているため、Linuxサーバーやクラウド環境を運用する組織には迅速な確認が求められます。

The Hacker News:15-Year-Old GhostLock Flaw Enables Root and Container Escape on Most Linux Distros

CyberCrewのペネトレーションテストを
詳しく知る
CyberCrewへのお問い合わせ・
無料見積もりはこちら

この記事のポイント

影響のあるシステム

  • GhostLockの修正が適用されていないLinuxカーネル
  • Linuxカーネル2.6.39-rc1以降で、修正コミット(3bfdc63936dd)が適用されていない影響を受けるコードを含む環境
  • 2011年以降の主要なLinuxディストリビューションを利用しているサーバーや端末
  • 複数の利用者が同じLinuxサーバーを使用する共有環境やマルチテナント環境
  • Linux上でコンテナを実行しているホストシステム
  • クラウドサーバー、開発環境、CI/CDランナーなど、信頼できないコードが実行される可能性のある環境
  • 脆弱なLinuxカーネルを使用し、別の脆弱性と組み合わせて攻撃される可能性があるAndroid環境
  • 2026年7月上旬時点で修正対応が完了していなかった一部のUbuntu LTS環境

推奨される対策

  • 利用しているLinuxディストリビューションのセキュリティ情報を確認してください。
  • CVE-2026-43499と関連修正を含む、最新の安定版カーネルを適用してください。
  • 単に「修正版」と記載された最初のパッケージではなく、関連不具合への追加修正まで含まれていることを確認してください。
  • 共有サーバー、クラウドサーバー、コンテナホスト、CI/CDランナーを優先して更新してください。
  • ベンダーが案内している修正済みパッケージのバージョンと、実際に稼働しているカーネルのバージョンを照合してください。
  • 修正パッケージが提供されていない場合は、ディストリビューションのアドバイザリーを継続的に確認してください。
  • RANDOMIZE_KSTACK_OFFSETやSTATIC_USERMODE_HELPERなどの緩和策だけで安全と判断せず、正式な修正を適用してください。

GhostLockはネットワークから直接攻撃する脆弱性ではありませんが、攻撃者が何らかの方法でローカルコードを実行できる状態になった場合、被害を大きく拡大させる可能性があります。外部公開サーバーだけでなく、社内の共有Linux環境や開発基盤も確認対象に含める必要があります。

この記事に出てくる専門用語

  • GhostLock:Linuxカーネルのロック処理に存在していた脆弱性の通称です。一般ユーザーの権限からroot権限を取得したり、コンテナの隔離を突破したりできる可能性があります。
  • CVE-2026-43499:GhostLockに割り当てられた共通脆弱性識別番号です。CVSS v3.1の基本値は7.8で、深刻度はHighと評価されています。
  • CVE-2026-53163:GhostLockに対する初期修正によって新たに生じたLinuxカーネルの不具合です。GhostLockの修正と併せて適切な修正を適用する必要があります。
  • Linuxカーネル:Linuxシステムの中心部分です。ハードウェア、メモリ、プロセス、利用者の権限などを管理します。
  • root:Linuxでほぼすべての操作を実行できる最高権限の管理者アカウントです。
  • 権限昇格:一般ユーザーとして得たアクセス権限を、管理者やrootなどの強い権限へ引き上げる攻撃です。
  • コンテナエスケープ:コンテナ内のプログラムが、本来アクセスできないホストOSや別のコンテナへ影響を及ぼす状態です。
  • Use-After-Free:プログラムが解放済みのメモリを誤って再利用する問題です。異常終了だけでなく、攻撃者によるコード実行につながる場合があります。
  • rtmutex:Linuxカーネルが処理の優先順位やロックの待ち状態を管理するために使用する仕組みです。
  • VEGA:Nebula Securityが使用したAIベースの脆弱性探索ツールです。GhostLockの発見に利用されたと報告されています。
  • kernelCTF:Linuxカーネルの脆弱性を発見・実証した研究者へ報奨金を支払うGoogleのプログラムです。
  • IonStack:Nebula Securityが公表した、Firefoxの脆弱性とGhostLockを組み合わせる攻撃チェーンの名称です。
  • CVE-2026-10702:Firefox内でコードを実行し、ブラウザーのサンドボックスを突破できる可能性がある脆弱性です。IonStackの前半部分として利用されたと報告されています。
  • Bad Epoll:CVE-2026-46242として管理されているLinuxカーネルの権限昇格脆弱性です。Androidでも攻撃が成立することが実証されたと報告されています。
  • Copy Fail:CVE-2026-31431として管理されているLinuxの権限昇格脆弱性です。実際の攻撃で悪用された脆弱性としてCISAの一覧に掲載されたと報告されています。

これらの用語は個別に覚えるだけでなく、「最初の侵入」「権限昇格」「システム全体の制御」という攻撃の流れに沿って理解すると、GhostLockがもたらすリスクを把握しやすくなります。

15年間見過ごされていたLinuxカーネルの欠陥

GhostLockは、Linuxカーネル2.6.39に取り込まれた処理に起因し、2011年から主要なLinuxディストリビューションへ広く含まれていたと報告されています。問題が存在するのは、複数の処理が同じ資源を利用するときの待機状態や優先順位を管理する「Futex優先度継承(内部処理を担うrtmutex)」と呼ばれる仕組みです。特別なカーネル設定や管理者権限、ネットワーク接続を必要とせず、通常のスレッド関連処理だけで問題を引き起こせる点が特徴です。

攻撃を行うには、対象システム上で何らかのプログラムを実行できる必要があります。そのため、CVSS v3.1では攻撃元がローカルに限定され、基本値は7.8のHighと評価されています。ただし、ログインできる一般ユーザーや侵害済みのアプリケーションが存在すれば、攻撃者がroot権限まで到達する可能性があります。root権限を取得されると、保存された情報の閲覧や改ざん、セキュリティ機能の停止など、システム全体へ影響が及ぶおそれがあります。

Nebula SecurityはGhostLockを実用的な攻撃コードへ発展させ、同社の検証では約97%の成功率を確認したとしています。テスト環境では攻撃開始から約5秒でroot権限を取得できたとされ、GoogleのkernelCTFプログラムから9万2,337ドルの報奨金が支払われたと報告されています。長期間存在していたからといって攻撃が困難とは限らず、実証コードの登場によって対応の緊急性が高まったと考えられます。

小さなメモリ管理の誤りがroot権限につながる仕組み

Linuxカーネルには、優先度の高い処理が、重要度の低い処理に妨げられて長時間待たされることを防ぐ仕組みがあります。通常は、処理がロックの待機を終了した際に、その処理に関する記録が適切に整理されます。しかしGhostLockでは、特定のロック操作が行き詰まり、処理を元に戻す場面で、カーネルが本来とは異なるタスクの情報を消去してしまう可能性があります。

その結果、カーネル内に、すでに解放されたメモリを指し続ける情報が残ります。このような問題はUse-After-Freeと呼ばれます。解放済みの領域は別のデータに再利用される可能性があるため、古い参照先を信頼して処理すると、クラッシュや予期しない書き換えが発生する場合があります。攻撃者はメモリの再利用方法を調整し、カーネルが攻撃者の用意した情報を正規のデータとして扱うよう誘導します。

Nebula Securityの研究チームは、この問題を複数の技術と組み合わせ、カーネル内の特定の場所へポインターを書き込み、処理の流れを制御する方法を構築したとしています。最終的には、カーネルが攻撃者の意図したコードをroot権限で実行する状態へ到達します。単純な一回の操作だけで直ちにroot権限を取得するわけではありませんが、公開された実証結果は、メモリ管理上の小さな誤りがシステム全体の制御へ発展する可能性を示しています。

クラウドやコンテナ環境で優先度が高まる理由

コンテナは、アプリケーションを相互に分離し、ホストシステムへの影響を抑えるために利用されています。しかし、コンテナとホストはLinuxカーネルを共有するため、カーネル自体に脆弱性が存在すると、通常の隔離だけでは攻撃を防げない場合があります。Nebula SecurityはGhostLockを利用して、コンテナ内部からホスト側へ到達するコンテナエスケープを実証したと報告しています。

特に注意が必要なのは、複数の利用者や顧客が同じ基盤を使用するマルチテナント環境、クラウドサーバー、共有開発サーバー、CI/CDランナーなどです。このような環境では、一般ユーザーやビルド処理に限定的なコード実行権限が与えられていることがあります。GhostLockは、その限定的な足掛かりをroot権限へ引き上げるために悪用される可能性があります。

2026年7月8日時点では、GhostLockが実際のサイバー攻撃で悪用された事例は確認されていません。一方、Nebula Securityは動作する攻撃コードを公開しており、第三者が技術的な検証を行える状態となっています。公開コードが存在するからといって、直ちに大規模な攻撃につながるとは限りませんが、攻撃者が脆弱性を分析し、別の攻撃へ転用するための負担は低下する可能性があります。企業はインターネットへの公開状況だけで優先順位を判断せず、信頼できない処理が実行されるLinux基盤から優先的に更新する必要があります。

「ローカル攻撃限定」でも遠隔侵害へ発展する可能性

GhostLockだけを利用するには、攻撃者が対象のLinuxシステム上でコードを実行できる状態になっている必要があります。しかし、別の脆弱性と組み合わせることで、利用者が遠隔から攻撃を受ける可能性があります。Nebula Securityは、Firefoxの脆弱性CVE-2026-10702とGhostLockを組み合わせた攻撃チェーンを「IonStack」と呼んでいます。

IonStackの前半では、細工されたリンクを通じてFirefox内でコードを実行し、ブラウザーのサンドボックスを突破します。その後、GhostLockを利用してLinuxカーネルのroot権限を取得する流れとされています。ブラウザー内だけで完結する攻撃であれば影響範囲は一定程度制限されますが、カーネルの権限昇格脆弱性まで組み合わせられると、端末全体が制御される可能性があります。

Nebula Securityは、Android上のFirefoxを対象に、悪意のあるリンクを一度タップするだけで端末のroot権限へ到達する一連の攻撃を実証したと報告しています。これは、GhostLockが単独ではローカル攻撃に分類されていても、リスクを低く見積もるべきではないことを示す事例です。企業では、ブラウザーやアプリケーションの更新とLinuxカーネルの更新を別々の対策として扱うのではなく、複数の脆弱性が連鎖する可能性を踏まえて管理することが重要です。

カーネル更新では「最初の修正版」だけを信用しない

GhostLockの原因となったコードは、2026年4月にLinuxカーネルのコミット「3bfdc63936dd」で修正されました。ただし、その初期修正によって別のクラッシュにつながる不具合が生じ、追加の修正が必要になったと報告されています。そのため、単にGhostLockへの対応が含まれる最初のカーネルを導入するのではなく、利用しているディストリビューションが現在提供している最新の安定版を確認することが重要です。

GhostLockの初期修正に関連して発生したLinuxカーネルの不具合は、CVE-2026-53163として管理されています。なお、関連情報の一部で使用されていたCVE-2026-53166は、2026年7月10日付でRejectedとなっています。カーネルを更新する際は、GhostLockへの修正だけでなく、CVE-2026-53163への対応も含まれている最新の安定版を選定することが重要です。

パッチの提供状況は、Linuxディストリビューションや使用しているカーネルの種類によって異なります。2026年7月上旬の時点では、Ubuntuの新しいリリースや一部のクラウド向けカーネルで修正が進む一方、Ubuntu 24.04 LTS、22.04 LTS、20.04 LTSなどでは、脆弱または対応中と案内されていました。対応状況は随時更新されるため、過去に確認した情報だけで判断せず、各ベンダーの最新のセキュリティアドバイザリーで修正済みパッケージのバージョンを確認する必要があります。

RANDOMIZE_KSTACK_OFFSETとSTATIC_USERMODE_HELPERというカーネル構成は、研究チームが使用した攻撃手法を難しくする可能性があります。しかし、これらは攻撃を完全に防ぐ修正ではありません。また、GhostLockの引き金となる処理は一般的なローカルプロセスでも利用されるため、機能を単純に無効化する完全な回避策も示されていません。設定による緩和だけに依存せず、正式なカーネル更新を適用することが基本的な対応となります。

出典:NVD:CVE-2026-53163NVD:CVE-2026-53166

自動解析が古いカーネルコードの問題を掘り起こす

GhostLockは、Nebula SecurityのAIベース脆弱性探索ツール「VEGA」によって発見されたと報告されています。2026年には、Linuxカーネルから一般ユーザーの権限をrootへ引き上げる複数の脆弱性が公表されており、その一部は自動化されたツールやAIモデルによって発見されています。長期間、多くの環境で使用されてきたコードであっても、十分に安全であるとは限りません。

関連する例として、GhostLockの公表より数日前には、CVE-2026-46242として管理される「Bad Epoll」が報告されました。この脆弱性も権限を持たないユーザーからroot権限を取得できる可能性があり、Android上でも攻撃が成立することが実証されたとされています。同じ周辺のコードでは、AnthropicのMythosモデルが関連する別の問題を発見したとも報告されています。

また、CVE-2026-31431として管理される「Copy Fail」は、実際の攻撃で悪用された脆弱性としてCISAのKnown Exploited Vulnerabilities Catalogに追加されたとされています。GhostLockについて実際の悪用は確認されていないものの、同種のLinux権限昇格脆弱性が現実の攻撃に利用される可能性は否定できません。

企業の脆弱性管理では、新しく導入したアプリケーションやインターネットに公開されたサービスだけでなく、OSやカーネルのように長年利用している基盤ソフトウェアも継続的に確認する必要があります。特に自動解析技術の進歩によって、従来は発見が難しかった古いコードの欠陥が相次いで明らかになる可能性があり、定期的なカーネル更新と資産管理の重要性はさらに高まると考えられます。

参考文献・記事一覧

※免責事項:本記事に掲載されている情報は、情報セキュリティ対策およびシステムの安全化の啓発を目的としており、脆弱性の悪用を推奨するものではありません。掲載情報を用いたことによって発生した直接的・間接的な損害について、当メディアは一切の責任を負いません

投稿者プロフィール

CyberCrew(サイバークルー)
CyberCrew(サイバークルー)
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

情報セキュリティサービス台帳登録事業者

■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10

■ 保有セキュリティ資格
GIAC GXPNCisco Cybersecurity SpecialistCEH MasterCEH Practical
Cyber Security Professional CertificateOSCPOSCP+CPENTOSWP
eCPPTeMAPTCRTSSOC-100PEN-100
HTB Offshore Penetration Tester(Level 3)
CyberCrewのペネトレーションテストを
詳しく知る
CyberCrewへのお問い合わせ・
無料見積もりはこちら

弊社サービスをご利用いただいたお客様の声

大規模リニューアルのリリース判断を支えたセキュリティリスクの客観的な整理(ニッポンインシュア株式会社)

ニッポンインシュア株式会社

Cloud Insureの大規模リニューアルに伴い、CyberCrewのセキュリティ診断・ペネトレーションテストを導入したニッポンインシュア株式会社様の事例をご紹介します。

事例の詳細を見る

決め手はコスパと柔軟性、投資対効果の高いセキュリティ検証(ソースネクスト株式会社)

ペネトレーションテスト

ソースネクストの導入事例。圧倒的なコストパフォーマンスと、準備工数を最小限に抑えた柔軟なペネトレーションテストの成果を公開。

事例の詳細を見る

安心感をもたらしたペネトレーションテスト活用(株式会社ハンモック)

ペネトレーションテスト

株式会社ハンモックにおけるペネトレーションテストの導入事例です。ペネトレーションテストを活用し、安心感のあるセキュリティ対策を実現した取り組みをご紹介します。

事例の詳細を見る

社内負荷を最小限に抑え、実効性あるセキュリティ体制を構築(株式会社FUNDINNO)

ペネトレーションテスト 株式会社FUNDINNO

株式会社FUNDINNOにおけるペネトレーションテストの導入事例です。社内負荷を最小限に抑えながら、実効性のあるセキュリティ体制を構築した取り組みについてご紹介します。

事例の詳細を見る


Page Top