この記事の監修:宮崎智広(Linux実務・教育歴20年以上・受講者3,100名超)
2026年5月14日から16日にかけてベルリンで開催された「Pwn2Own Berlin 2026」で、Red Hat Enterprise Linux for Workstationsのローカル権限昇格が2件成功しました。攻撃者はuse-after-freeとレースコンディションという、Linuxカーネル系で定番の脆弱性タイプを突きました。
この記事では、Pwn2Own Berlin 2026のRHEL関連結果、ローカル権限昇格(LPE)の脅威モデル、そして実務での対策を、20年以上のLinux運用経験から整理します。
この記事のポイント
・Pwn2Own Berlin 2026でRHEL for Workstationsのローカル権限昇格が2件成功した
・Day 1にChompie(IBM XOR)がレースコンディションで$20,000を獲得
・Day 2にBen Koo(Team DDOS)がuse-after-freeで$10,000を獲得
・LPE脆弱性は「ローカルアクセスありき」の前提だが、横展開攻撃で致命傷になる
・対策はカーネル更新の徹底、SELinux/AppArmor有効化、最小権限運用の3層
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
Pwn2Own Berlin 2026とは|開催概要
Pwn2Own(ポウン・トゥ・オウン)は、Zero Day Initiative(ZDI)が主催する世界最大級のハッキングコンテストです。研究者が事前に登録したターゲット(OS・ブラウザ・仮想化基盤・AI製品など)に対して、未公開の脆弱性を使ったエクスプロイトを実演し、成功すれば賞金が支払われます。Pwn2Own Berlin 2026は、2026年5月14日から16日にOffensiveConと併催されました。Day 1だけで$523,000、最終的に47件のゼロデイで合計$1,298,250が支払われた、過去最大規模の開催のひとつです。
RHEL関連で特に注目されたのは、Red Hat Enterprise Linux for Workstationsを標的とした「ローカル権限昇格部門」で、Day 1とDay 2に1件ずつ成功例が出たことです。
RHEL陥落の詳細|2件のローカル権限昇格
| 項目 | Day 1(5月14日) | Day 2(5月15日) |
|---|---|---|
| 研究者 | Chompie(Valentina Palmiotti) | Ben Koo |
| 所属 | IBM X-Force Offensive Research | Team DDOS |
| 脆弱性タイプ | レースコンディション(Race Condition) | 解放後利用(Use-After-Free) |
| 賞金 | $20,000+Master of Pwn 2ポイント | $10,000 |
| 対象 | RHEL for Workstations LPE部門 | RHEL for Workstations LPE部門 |
両件とも「ローカル権限昇格(Local Privilege Escalation, LPE)」のカテゴリです。これは、すでに一般ユーザーとしてシステムにログインできている攻撃者が、root権限を奪取する攻撃手法です。
1. レースコンディション(Day 1)
レースコンディションは、複数の処理が並行して実行される際、タイミングのズレを悪用して本来想定されていない状態を作り出す攻撃です。Linuxカーネルでは、メモリ管理・ファイルシステム操作・名前空間処理などで、過去にも数多くのLPE脆弱性が見つかっています。Chompieは、IBM X-Force Offensive Research所属の研究者で、過去にもLinux/Windowsカーネルのゼロデイを多数報告してきた著名な研究者です。同氏は同大会でNVIDIA Container Toolkitのゼロデイでも$50,000を獲得しています。
2. Use-After-Free(Day 2)
Use-After-Freeは、解放されたメモリ領域を再利用してしまうバグを悪用する攻撃です。攻撃者は、解放後のメモリに悪意あるデータを書き込み、それが参照される瞬間に任意コードを実行させます。Ben Koo(Team DDOS)の今回の成功例は、Pwn2Own Berlin 2026 Day 2の中でも注目された事例の一つです。
ローカル権限昇格(LPE)の脅威モデル
「ローカル権限昇格って、ローカルにログインできないと使えないんでしょ?外部からの攻撃じゃないなら大したことないのでは?」と思われがちですが、現場目線では大間違いです。1. 横展開攻撃の中核として使われる
現代のサイバー攻撃は、単一の脆弱性で完結しないのが一般的です。典型的な侵入の流れは以下のとおりです。・初期侵入:フィッシングメール、Webサイト経由、サプライチェーン経由などで一般ユーザー権限を取得
・権限昇格(LPE):取得した一般ユーザー権限から、root権限へ昇格
・横展開:root権限を使って、認証情報・SSH鍵・トークンを収集し、他システムへ侵入
・目的達成:データ窃取、ランサムウェア展開、バックドア設置
この流れでLPEは「絶対に必要な歯車」です。LPEを止められれば、初期侵入があっても被害は局所化します。
2. 共有環境では一段と深刻
LPEが特に致命的なのは、複数ユーザーが同居する環境です。・大学・研究機関の計算サーバー
・社内開発環境の踏み台サーバー
・CI/CDのビルドホスト
・コンテナ環境のホストOS
・クラウド上のマルチテナント基盤
こうした環境では、内部の一般ユーザーが意図せず(または悪意を持って)root権限を取れる状態は、組織全体のセキュリティを崩壊させます。
RHEL運用での対策|カーネル系LPEへの3層防御
Pwn2Own級の高度な脆弱性が常に存在する前提で、運用現場で打てる対策を整理します。20年以上のLinux運用経験から、効果が高い順に3層で考えます。1. カーネル更新の徹底(最重要)
Pwn2Ownで成功したエクスプロイトは、ZDIを通じてベンダーに通知されたあと、修正パッチが順次リリースされます。RHEL利用者がやるべきことは明確です。# 現在のカーネルバージョン確認 uname -r # 利用可能なカーネル更新確認 sudo dnf check-update kernel # カーネル更新の適用 sudo dnf update kernel kernel-core kernel-modules # 更新後の再起動(カーネル更新は再起動必須) sudo systemctl reboot
2. SELinux / AppArmorの有効化
RHEL系では標準でSELinuxが有効化されていますが、運用上の理由でpermissiveやdisabledに設定している現場が少なくありません。LPE脆弱性の被害を限定するには、SELinuxを必ずenforcingで運用します。# 現在のSELinux状態確認 getenforce # 出力例: Enforcing # /etc/selinux/configを確認 cat /etc/selinux/config | grep ^SELINUX= # SELINUX=enforcing が望ましい # 一時的にenforcingに切替(再起動で戻る) sudo setenforce 1
3. 最小権限運用の徹底
LPE攻撃の入り口となる「一般ユーザー権限」そのものを、攻撃者に渡しにくくします。・SSH公開鍵認証の徹底:パスワード認証を無効化(
PasswordAuthentication no)・sudo権限の最小化:NOPASSWD全権付与を避け、必要なコマンドのみ許可
・多要素認証(MFA)の導入:SSHやsudoでMFAを必須化
・ログ監視:auditdで権限昇格関連イベント(execve、setuid呼び出し)を記録
「Pwn2Ownで落ちたOS」を選ばないという発想は間違い
Pwn2Ownでは毎回、WindowsもmacOSもLinuxも、主要OSが何かしら陥落します。これは「そのOSが脆弱だから」ではなく、「世界トップクラスの研究者が数百時間かけて掘れば、どんなOSにも穴は見つかる」という事実を示しています。重要なのは、陥落後にベンダーがどれだけ早く・確実にパッチを出し、どれだけ広く適用されるかです。RHELの場合、Red Hatのセキュリティチームの対応速度は業界トップクラスです。Pwn2Ownで報告された脆弱性は、通常90日以内に修正版がリリースされ、サブスクリプション契約者には自動で配信されます。
セミナーで3,100名以上を指導してきた経験から言うと、「どのOSを選ぶか」よりも「選んだOSをいかに正しく運用するか」の方が、現場のセキュリティに直結します。
参考書籍|セキュリティ運用とLinuxカーネルを学ぶ
※本セクションには広告(PR)リンクを含みます
カーネルLPEや権限昇格の仕組みを深く理解するには、カーネル内部の知識とセキュリティの実践知識が両方必要です。長く役立つ書籍を厳選しました。・詳解 Linuxカーネル 第3版(オライリー・ジャパン):メモリ管理・プロセス管理・同期処理のカーネル内部構造を学ぶ定番書
・ホワイトハッカー入門(インプレス):攻撃者視点でのセキュリティ実務の入門書
本記事のまとめ
| 項目 | 内容 |
|---|---|
| イベント | Pwn2Own Berlin 2026(2026年5月14日~16日) |
| RHEL関連結果 | RHEL for Workstationsで2件のLPE成功 |
| Day 1 | Chompie(IBM XOR)/レースコンディション/$20,000 |
| Day 2 | Ben Koo(Team DDOS)/Use-After-Free/$10,000 |
| 脅威モデル | 横展開攻撃の中核。共有環境・コンテナホストで特に深刻 |
| 対策 | カーネル更新/SELinux enforcing/最小権限運用の3層防御 |
Pwn2Ownの結果は「危機を煽る」ためではなく、「自社で何ができるか」を点検するきっかけと捉えるのが正解です。Red Hatからの修正パッチが届いた瞬間に当てられる運用体制を整えておきましょう。
3,100名以上が実践した「型」を無料で公開中
プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。
登録10秒/合わなければ解除3秒 / 詳細はこちら
この記事を書いた人
宮崎 智広(みやざき ともひろ)
株式会社イーネットマーキュリー代表。現役のLinuxサーバー管理者として20年以上の実務経験を持ち、これまでに累計3,100名以上のエンジニアを指導してきたLinux教育のプロフェッショナル。「現場で本当に使える技術」を体系的に伝えることをモットーに、実践型のLinuxセミナーの開催や無料マニュアルの配布を通じてLinux人材の育成に取り組んでいる。
趣味は、キャンプにカメラ、トラウト釣り。好きな食べ物は、ラーメンにお酒。休肝日が作れない、酒量を減らせないのが悩み。最近、ドラマ「フライトエンジェル」を観て涙腺が崩壊しました。
- 次のページへ:Linuxサーバー性能ベンチを30秒で取る方法|Yet-Another-Bench-ScriptでCPU/IO測定
- 前のページへ:HPLIP脆弱性まとめ|Linux環境のHPプリンター利用者がいま当てるべき更新
- この記事の属するカテゴリ:Linux情報・技術・セキュリティへ戻る
無料メルマガで学習を続ける
Linuxの実践スキルをメールで毎週お届け。
登録は1分、解除もいつでも可。
登録無料・いつでも解除できます