この記事の監修:宮崎智広(Linux実務・教育歴20年以上・受講者3,100名超)
これはLinuxカーネルの epoll サブシステムに潜む Use-After-Free(解放済みメモリの再利用)で、CVSSは 7.8(High)。ローカルの一般ユーザーがroot(管理者権限)へ昇格できてしまう内容です。20年以上Linuxサーバーの現場にいますが、複数の利用者が同じマシンにログインする共有サーバーを持っている管理者にとっては、優先度を上げて向き合うべき1件だと考えています。
この記事は「どうやって攻撃を再現するか」ではなく、現役の管理者が、自分のサーバーへどう防御をかけるかという実務目線で書きます。影響範囲の確認、ディストリ別のパッチ適用、そして自動検知に頼り切れないこの手の脆弱性への多層防御まで、順を追って整理します。
この記事のポイント
・CVE-2026-46242「Bad Epoll」はepollのUse-After-Freeで、一般ユーザーがrootを奪える(CVSS 7.8 High)
・影響はカーネル v6.4以降。uname -r で自分のカーネルを今すぐ確認する
・修正はmainlineで済み。各ディストリの最新カーネルへ更新し、必ず再起動する
・KASANでも捕まりにくく痕跡が薄い。auditd等の挙動監視と一般アカウントの棚卸しで多層防御する
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
CVE-2026-46242「Bad Epoll」とは何か
何が起きたのか
Bad Epoll は、Linuxカーネルの epoll(イベント多重化) という、多数のファイルディスクリプタ(ソケットやファイルの識別子)を効率よく監視する仕組みに見つかった脆弱性です。ここにレースコンディション(処理のタイミング競合)に起因する Use-After-Free があり、これを突かれると 一般ユーザーがroot権限を取得 できてしまいます。発見したのは、ソウル大学のセキュリティ研究室に所属する Jaeyoung Chung 氏です。GoogleがカーネルのセキュリティをテストするコンテストkernelCTFに0-day(未修正の脆弱性)として提出され、PoC(実証コード)はすでにGitHubで公開されています。攻撃コードが世に出ている以上、悪用のハードルは日々下がっていると見るべきです。
なぜ緊急なのか
深刻なのは、その影響の広がりです。単なるサーバーの権限昇格にとどまらず、通常ならほぼ全てのカーネルバグを遮断するChromeのレンダラーのサンドボックス内からも到達可能で、別のブラウザ脆弱性と連鎖させればサンドボックス脱出に悪用され得る点が異例です(現時点で完全な連鎖の実証コードは未公開)。あわせてAndroid(Pixel系、6.6系カーネル以降)にも影響することが確認されています。カーネル本体のバグなので、Linuxを土台にした環境全般に波及します。報告によると、エクスプロイトの成功率は約99%と高く、非常に信頼性の高い攻撃が組み立てられてしまう性質を持ちます。「条件が揃えばたまに成功する」レベルではなく、狙われれば高確率で通る、という前提で対応を考える必要があります。
Bad Epollの技術的本質:epollのUse-After-Freeとレース
closeの2経路が競合する
Bad Epoll の正体は、epoll が管理するオブジェクトを解放する経路が2つあり、それらが同時に走ったときに競合する(close-vs-closeレース)ことにあります。片方の処理がオブジェクトを解放している最中に、もう片方がその 解放済みメモリへ書き込んでしまう。具体的には8バイトの write-after-free が発生します。このレースが成立する「窓」は約6命令幅と極めて狭く、通常であればまず踏まないタイミングです。しかし攻撃者はこの一瞬を意図的に突いてきます。解放されたメモリに攻撃者が別のデータを流し込んでおけば、カーネルはそれを正規のオブジェクトだと思い込んで動作し、結果として権限の壁を越えられてしまいます。
なぜrootが取れるのか
カーネルは、システム全体で最も強い権限で動くプログラムです。そのカーネルが管理するメモリを、一般ユーザーの操作から間接的に書き換えられるということは、本来は触れないはずの「誰がroot権限を持つか」を決める領域にまで手が届くことを意味します。UAFを足がかりにカーネル内部の状態を書き換え、自分のプロセスをrootへ昇格させる、というのが権限昇格の大まかな筋道です。このバグはカーネルのコミット
58c9b016e128(2023年4月8日)で作り込まれ、mainlineのコミット a6dc643c6931(2026年4月24日)で修正されました。作り込みから修正まで約3年、その間ずっと多くの本番サーバーに潜んでいたことになります。自分のサーバーは影響を受けるか(uname -r で確認)
まずカーネルバージョンを見る
影響を受けるのは カーネル v6.4以降 です。v6.1ベースのカーネルには問題のコードがまだ入っていないため影響しません。自分のサーバーがどちらかは、次のコマンドで即座に確認できます。# 稼働中のカーネルバージョンを確認する
uname -r
# 実行例
6.8.0-45-generic
先頭の数字が
6.4 以降であれば、原則として影響対象です。ただしディストリビューションによっては、古いバージョン番号のカーネルに修正だけをバックポート(移植)している場合があるため、番号だけで安全と即断せず、後述のディストリ別の状況と合わせて判断してください。共有サーバー・マルチテナントが最も危険な理由
この脆弱性は、外部からいきなり侵入できるリモートの穴ではなく、すでにローカルにログインできる一般ユーザーが権限を上げるタイプです。そのため、最もリスクが高いのは 複数の利用者が同居する共有サーバーやマルチテナント環境です。たとえば、開発者やアルバイトに一般ユーザーのアカウントを配っているサーバー、あるいはWebホスティングのように顧客ごとのアカウントが同じマシンに乗っている環境では、そのうちの1アカウントが乗っ取られただけで、サーバー全体をrootごと奪われる恐れがあります。Chromeやアプリのサンドボックスから起動できる点も、「一般権限しか渡していないから安全」という前提を崩しにきます。
パッチ適用:ディストリ別のカーネル更新手順
基本は「最新カーネルへ更新して再起動」
対処の基本は、ディストリが配布する修正済みカーネルへ更新し、再起動して新しいカーネルで起動し直すことです。カーネルはシステムの土台なので、パッケージを入れ替えただけでは走っている本体は古いままです。再起動して初めて修正版が有効になります。# Debian / Ubuntu 系
sudo apt update
sudo apt upgrade
# RHEL / Rocky / AlmaLinux 系
sudo dnf update kernel
# 更新後は再起動して新カーネルで起動
sudo reboot
ディストリ別の状況(確認できた範囲)
執筆時点で各ディストリのセキュリティトラッカーから確認できた状況を整理します。自分の環境の版を必ず実機で照合してください。| ディストリ | 状況 |
|---|---|
| Debian 12 (Bookworm) | ベースが v6.1 のため影響なし |
| Debian 13 (Trixie) | セキュリティ更新の 6.12.95-1 で修正済み |
| Ubuntu 24.04 / 25.10 | 影響あり。最新カーネルへ更新 |
| Ubuntu 22.04 | 一部のカーネル系統のみ影響。apt upgrade で最新へ |
| RHEL / Rocky / Alma | ベンダー勧告を確認し dnf update |
Ubuntuは執筆時点でも各系統への修正取り込みが順次進んでいる段階です。バージョン番号を狙い撃ちで指定するより、
sudo apt update && sudo apt upgrade で最新のカーネルまで引き上げるのが確実です。RHEL系は自分が契約しているベンダーの勧告(アドバイザリ)で対象カーネルを確認したうえで dnf update をかけてください。再起動が難しいサーバーはlivepatchを検討する
「本番サーバーをすぐに再起動できない」という現場は少なくありません。その場合の選択肢が、稼働したままカーネルにパッチを当てる ライブパッチ(Ubuntu Livepatch、Red HatのkpatchやKernel Live Patching)です。無停止で緊急の穴を塞げるため、再起動の計画停止までの時間稼ぎとして有効です。ただしライブパッチはあくまで暫定策と位置づけるのが現場の鉄則です。対応する修正が提供されているかはディストリやサポート契約によって異なりますし、最終的には正規のカーネルへ更新して再起動し、クリーンな状態に戻すところまでを一連の対応として計画しておくべきです。
KASANで捕まらない脅威への検知と多層防御
自動検知に頼り切れない、という教訓
Bad Epoll には、運用者として見落とせない教訓があります。この脆弱性は KASAN(Kernel Address Sanitizer、カーネルのメモリ異常検出機構)でも捕まりにくく、実行時の痕跡が少ないため、長く見逃されてきました。実際、同じepollのコード経路にあった別の脆弱性 CVE-2026-43074 はAIモデルによって先に発見されていたのに、Bad Epoll本体はすり抜けていました。つまり、高度な自動検出ツールでさえ取りこぼす種類の穴が現実に存在するということです。「スキャナが何も言わないから安全」ではなく、パッチ適用という当たり前の運用を、情報が出た時点で淡々と回すことが、結局いちばん効く防御になります。
挙動監視とアカウントの棚卸し
パッチ適用と並行して、いざ悪用されたときに気づける仕掛けも用意しておきます。ポイントは、脆弱性そのものを検知するのではなく、権限昇格の前後に現れる「不自然な挙動」を捕まえるという発想です。・auditd:予期しない実行ファイルの起動や、権限に関わる操作のログを取り、後から追跡できるようにする
・Falco:コンテナやホストでの異常なシステムコール(想定外のroot昇格の兆候など)をルールベースで検知する
・ローカルアカウントの棚卸し:使われていない一般ユーザー、退職者や外注の残存アカウントを洗い出して削除する
この脆弱性は「ログインできる一般ユーザー」が起点です。不要なローカルアカウントを1つ減らすことは、そのまま攻撃の起点を1つ塞ぐことになります。緊急対応の合間に、アカウントの棚卸しまで手を伸ばしておくと守りが厚くなります。
現役管理者にとっての教訓とまとめ
カーネルバージョン管理は運用の一丁目一番地
Bad Epoll が突きつけているのは、シンプルながら重い事実です。カーネルのバージョンを把握し、修正が出たら速やかに当てて再起動する。この基本動作こそが、セキュリティ運用の一丁目一番地だということです。約3年潜伏し、AIツールですら見逃した脆弱性に対して、私たち管理者が確実に打てる手は、突き詰めればここに集約されます。派手な検知ツールを増やすより先に、自分の管理下にあるサーバーのカーネルが今いくつで、どれが更新待ちなのかを一覧できる状態にしておく。地味ですが、この足場があるかないかで、緊急時に動けるスピードが決定的に変わります。
対応チェックリスト
最後に、今日から手を動かせる順に整理します。| ステップ | やること | 確認コマンド/基準 |
|---|---|---|
| 1. 確認 | 稼働カーネルの把握 | uname -r が v6.4以降なら要対応 |
| 2. 更新 | 修正済みカーネルへ更新 | apt upgrade / dnf update kernel |
| 3. 再起動 | 新カーネルで起動し直す | sudo reboot 後に uname -r 再確認 |
| 3b. 無停止 | すぐ再起動できない場合 | livepatch / kpatch で暫定対応 |
| 4. 監視 | 挙動監視とアカウント棚卸し | auditd / Falco・不要な一般ユーザー削除 |
CVSS 7.8という数字に身構えるよりも、自分のカーネルを確かめ、淡々と当てて、再起動して確認する。緊急のカーネル脆弱性への対応は、この基本動作を落ち着いて回せるかどうかがすべてです。
緊急のカーネル更新、自信を持って本番に当てられますか?
uname -r でのバージョン確認、修正済みカーネルへの更新、再起動での切り替え、そして万一に備えた挙動監視。記事で読むだけでなく、実機で繰り返し手を動かすことで初めて身につきます。
ネットの切れ端の情報をコピペするだけでなく、現場で通用する安全なLinuxサーバー構築の「型」を体系的に身につけたい方へ、『Linuxサーバー構築入門マニュアル(図解60P)』を完全無料でプレゼントしています。
「独学の時間がもったいない」「プロから直接、現場の技術を最短で学びたい」という本気の方には、2日で実務レベルのスキルが身につく【初心者向けハンズオンセミナー】も開催しています。
PR
Linuxサーバーセキュリティ徹底入門 オープンソースによるサーバー防衛の基本(中島能和 著/翔泳社)
まず上の無料メルマガでカーネル更新と多層防御の「型」をつかんだうえで、SELinux・ログ監視・暗号化・攻撃手法まで腰を据えて学び直したい方へ。今回のような権限昇格に日頃から備えるための土台を、サーバー防衛の基本として体系的に押さえられる1冊です。手元のリファレンスとして併用をおすすめします。
3,100名以上が実践した「型」を無料で公開中
プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。
登録10秒/合わなければ解除3秒 / 詳細はこちら
- 前のページへ:linuxmaster_1803650_1783275601_3f1e4c4d64_article
- この記事の属するカテゴリ:Linux情報・技術・セキュリティへ戻る

無料メルマガで学習を続ける
Linuxの実践スキルをメールで毎週お届け。
登録は1分、解除もいつでも可。
登録無料・いつでも解除できます