概要
「GhostLock」と名付けられたLinuxカーネルの脆弱性(CVE-2026-43499、CVSSスコア7.8)が明らかになった。2011年以降にリリースされたほぼすべての主要Linuxディストリビューションに存在しており、ログイン済みの一般ユーザー権限さえあれば、特別な設定やネットワークアクセスなしに、約5秒・成功率97%という高い信頼性でroot権限を奪取できる。サーバーやデスクトップだけでなく、クラウドインスタンスやコンテナホスト、Androidを含むLinuxベースシステムも影響対象に含まれ、コンテナエスケープも可能であることから、実運用環境への影響は大きい。
技術的な詳細
脆弱性の実体はカーネルのrt_mutexコード内に存在するUse-After-Free(CWE-416)で、futexサブシステムのロック優先度継承処理を通じて発動する。具体的には、ロック操作がデッドロック状態に達して処理を撤退する稀なケースにおいて、メモリのクリーンアップが誤ったタイミングで実行され、既に解放・再利用されたメモリ領域を指すスタレなポインタが残ってしまう。攻撃者はこれを突くことで、任意のローカルプログラムから通常のスレッド呼び出しのみで権限昇格を達成できる。CVSSベクトルはAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:Hで、ローカルアクセスを要する点を除けば機密性・完全性・可用性のすべてに深刻な影響を与える。
この脆弱性は、Nebula SecurityがAI駆動型のバグハンティングツール「VEGA」を用いて発見し、Googleの kernelCTF バグ報奨金プログラムを通じて9万2,337ドルの報奨金を獲得した。研究者らは概念実証(PoC)コードも公開している。さらにNebulaは、Firefoxブラウザのサンドボックス脱出脆弱性CVE-2026-10702とGhostLockを組み合わせた「IonStackチェーン」と呼ばれる多段階攻撃も実証しており、Android端末上のFirefoxから完全なシステム制御を奪取するデモンストレーションに成功したという。詳細なレポートは後日公開予定とされている。なお、同時期にはfutexの優先度継承メカニズム周辺で類似の脆弱性「Bad Epoll」(CVE-2026-46242)も発見されており、自動化ツールによる古いコード領域の再検証の重要性を示す事例となっている。
対応状況と今後の展望
修正パッチは2026年4月に公開され、コミット3bfdc63936ddとして各ディストリビューションへの展開が進められている。ただし、当初のパッチだけでは不十分なケースがあり、別の不具合CVE-2026-53166が原因で、完全な修正は7月時点でもLinuxカーネル上流で調整が続いている状況だ。Ubuntu 24.04、22.04、20.04 LTSなど主要ディストリビューションでも、7月時点で脆弱性が残るか修正が進行中と報告されている。
有効な回避策(ワークアラウンド)は存在せず、カーネルアップデートの適用が必須とされる。RANDOMIZE_KSTACK_OFFSETやSTATIC_USERMODE_HELPERといったカーネルオプションは緩和効果を持つに過ぎない。専門家は、クラウド環境やコンテナ、CIランナーなど攻撃対象になりやすいシステムを優先的にパッチ適用するよう推奨している。PoCがすでに公開されていることから、迅速な対応が求められる。