セキュリティ企業Nebula Securityは、Linuxカーネルに15年前から存在していた脆弱性GhostLock(CVE-2026-43499)を公表しました。2011年以降ほぼすべての主要ディストリビューションに標準で組み込まれてきたコードに起因するもので、ログイン済みの一般ユーザーであれば、特別な権限も特殊な設定もネットワークアクセスも必要とせず、通常のスレッド関連の呼び出しだけでroot権限を奪取できます。当サイトでは2026年に入ってから、Dirty FragやFragnesia、CIFSwitch、act_peditモジュールの脆弱性など、Linuxカーネルのローカル権限昇格脆弱性を継続して取り上げてきましたが、GhostLockはこの系譜に連なる最新の事例であり、なおかつAIによる脆弱性発見という新しい潮流を象徴する事例でもあります。
サマリー
- Nebula SecurityはLinuxカーネルの脆弱性GhostLock(CVE-2026-43499、CVSS 7.8・High)を公表した。2011年から存在する解放後メモリ使用(Use-After-Free)の脆弱性で、ほぼすべての主要ディストリビューションに影響する
- 悪用には特別な権限や特殊な設定、ネットワークアクセスは不要で、ログイン済みの一般ユーザーが実行できる通常のスレッド関連の呼び出しだけで成立する
- Nebulaはこの脆弱性を実際に動作するroot権限奪取のエクスプロイトへと発展させ、検証環境での成功率は97%、コンテナからの脱出にも対応しているとしている
- Googleは自社のkernelCTFバグ報奨金プログラムを通じ、Nebulaに9万2,337ドルを支払った
- 本稿執筆時点で実際の悪用は確認されていないが、Nebulaは動作するエクスプロイトコードをGitHub上で公開しており、誰でも入手可能な状態にある
- 修正は2026年4月に行われた(コミット3bfdc63936dd)が、この修正自体が新たなクラッシュバグ(CVE-2026-53166)を生んでおり、7月時点でも上流での後始末が続いている
- GhostLockは、Nebulaが発見した近縁の脆弱性Bad Epoll(CVE-2026-46242)とともに、いずれもGoogle製のAI駆動型バグハンティングツールVEGAによって発見されており、長年見過ごされてきたカーネルの古いコードが自動化ツールによって次々と掘り起こされている現状を象徴している
| 項目 | 内容 |
|---|---|
| 脆弱性名 | GhostLock |
| CVE番号 | CVE-2026-43499 |
| CVSSスコア | 7.8(High) |
| 脆弱性の種類 | 解放後メモリ使用(Use-After-Free) |
| コードの存在期間 | 2011年から(futexの優先度継承機能) |
| 影響範囲 | 2011年以降ほぼすべての主要Linuxディストリビューション |
| 攻撃条件 | ログイン済みの一般ユーザー権限のみ、特殊設定・ネットワークアクセス不要 |
| 発見者・ツール | Nebula Security、AI駆動型バグハンティングツールVEGA |
| 検証済みの成功率 | 97%(コンテナ脱出にも対応) |
| 報奨金 | Googleのkernelctf経由で9万2,337ドル |
| 修正日 | 2026年4月(コミット3bfdc63936dd)、ただし新たな不具合CVE-2026-53166が発生 |
目次
何が起きたか
GhostLockの根本原因は、Linuxカーネルが持つfutex(高速ユーザー空間ミューテックス)の優先度継承という仕組みにあります。この仕組みは、緊急性の高い処理が、些細な処理の後ろで待たされ続けてしまう事態を防ぐために備わっているものですが、その実装の中に、カーネルがすでに解放し再利用したメモリ領域を指し示す古いポインタを、そのまま信頼してしまうという典型的な解放後メモリ使用の欠陥が存在していました。Nebulaのチームは、この小さな見落としをいくつかの巧妙な手順でつなぎ合わせ、最終的にカーネルをだまして自分たちのコードを最も強い権限を持つrootユーザーとして実行させるところまで発展させています。検証用マシンでは、この一連の処理がおよそ5秒で完了したとされています。
このコード自体は2011年から存在しており、2011年以降にリリースされたほぼすべての主要ディストリビューションに標準で組み込まれてきました。攻撃者から見て都合が良いのは、悪用にあたって特別な権限も特殊な設定もネットワークアクセスも必要とせず、ログイン済みの一般ユーザーが実行できるごく普通のスレッド関連の呼び出しだけで成立してしまう点です。Nebulaはこれを実際に動作するエクスプロイトへと仕上げ、検証環境での成功率は97%、コンテナからの脱出にも対応していると説明しています。
GoogleのAI駆動型バグハンティングツールVEGAが発見
今回の発見で特に注目したいのが、Nebulaがこの脆弱性を、自社開発のAI駆動型バグハンティングツールVEGAを使って発見したという点です。Googleは自社のkernelCTFというバグ報奨金プログラムを通じてNebulaへ9万2,337ドルを支払っており、これは長年人手による監査をすり抜けてきた古いコードが、自動化されたAIツールによって効率的に掘り起こされつつある現状を裏付けています。
GhostLockが公表されるわずか数日前には、近縁の脆弱性であるBad Epoll(CVE-2026-46242)も別途公表されています。こちらも同じく非特権ユーザーをrootへ昇格させる脆弱性で、kernelCTFを通じて実証され、Androidでも動作することが確認されている点が特徴です。海外メディアの報道によれば、Bad Epollが存在するコード領域は、AnthropicのMythosモデルが関連する脆弱性を発見したとして評価されたのと同じ範囲にあるとされています。当サイトでも以前、Claude MythosがPHPのテンプレートエンジンTwigの脆弱性13件を発見した事例に触れましたが、AIモデルやAI駆動型のツールによる脆弱性発見は、防御側の脆弱性研究においてすでに実用段階に入りつつあることがうかがえます。GhostLockとBad Epollに共通するfutexの優先度継承に関するコードは2011年から存在しており、長年ほとんど読み返されることのなかったカーネルの奥深くの仕組みが、自動化ツールの登場によって一斉に見直され始めていると言えます。
IonStackという攻撃チェーンの一部
GhostLockはさらに、Nebulaが「IonStack」と呼ぶ攻撃チェーンの後半部分を構成しています。前半にあたるのはFirefoxの脆弱性CVE-2026-10702で、これはブラウザ内でコードを実行しそのサンドボックスから脱出できるというものです。GhostLockはこの脱出したコードを、最終的にroot権限の獲得というゴールまで運ぶ役割を担っています。ブラウザの脆弱性単体であれば影響範囲はサンドボックス内にとどまりますが、GhostLockのようなカーネルの権限昇格脆弱性と組み合わされることで、Webページを閲覧しただけの端末が完全に乗っ取られるところまで被害が拡大しうるという、攻撃チェーン全体としての深刻さを示す事例です。
修正版のさらなる不具合と、2026年に相次ぐLinuxカーネルの権限昇格脆弱性
GhostLock自体は2026年4月にコミット3bfdc63936ddとして修正されていますが、この修正自体が新たなクラッシュを引き起こす不具合(CVE-2026-53166)を生んでしまい、その後始末が2026年7月に入ってもなお上流で続いているとされています。これはセキュリティ修正そのものが新たな不安定要素を持ち込んでしまう、決して珍しくないパターンです。管理者としては、最初に配布されたパッチ済みビルドだけで満足せず、現在使用中のディストリビューションの最新カーネルを適用することが推奨されています。
当サイトで既報の通り、2026年に入ってからCopy Fail・Dirty Frag・Fragnesia・PinTheft・CIFSwitch・act_peditモジュールの脆弱性と、Linuxカーネルのローカル権限昇格脆弱性が矢継ぎ早に公表され続けており、GhostLockとBad Epollはこの流れに連なる直近の事例です。これらの脆弱性の多くはページキャッシュの汚染という共通の手口を用いていましたが、GhostLockはfutexの優先度継承という異なるコード領域に起因しており、Linuxカーネルの権限管理に関わるコード全体が、複数の切り口から集中的な研究対象になっていることを示しています。なお、これらの脆弱性のうちCopy Fail(CVE-2026-31431)はすでにCISAの既知の悪用された脆弱性カタログに登録されており、脆弱性の公表から実際の悪用までの時間が短縮され続けている点にも注意が必要です。
情報システム部門への示唆
自組織で運用しているLinuxサーバーやコンテナホストについて、現在使用しているカーネルのバージョンを確認し、GhostLockの修正が反映された最新のカーネルへ更新することをお勧めします。前述の通り、最初の修正コミットには別の不具合が含まれていたため、ディストリビューションベンダーが提供する最新のパッチ適用済みカーネルを利用することが重要です。
GhostLockは特別な権限を必要とせず、ログイン済みの一般ユーザーであれば悪用できてしまうため、複数のユーザーやプロセスが同居するマルチテナント環境、共有ビルドサーバー、コンテナホストは特に優先度を上げて対応することをお勧めします。あわせて、Nebulaが動作するエクスプロイトコードを公開していることから、今後実際の悪用が始まる可能性は十分にあります。当サイトで以前紹介したnginxの脆弱性NGINX Riftが公開からわずか3日で実際の攻撃に悪用された事例のように、PoCコードが公開された脆弱性は極めて短期間で攻撃者に利用され始める傾向があるため、パッチ適用を後回しにしないことが肝心です。
出典
- GhostLock(CVE-2026-43499)に関する投稿 – Nebula Security(一次ソース、X)
- Linux カーネルの脆弱性 Dirty Fragでroot奪取が可能(CVE-2026-43284・CVE-2026-43500) – セキュリティ対策Lab
- Linux カーネルの脆弱性 Fragnesia(CVE-2026-46300)でroot権限奪取が可能 – セキュリティ対策Lab
- Linux カーネルのCIFS認証に19年間潜在していたローカル権限昇格が可能な脆弱性 CIFSwitch – セキュリティ対策Lab
- Linux カーネルのact_peditモジュールに脆弱性(CVE-2026-46331) – セキュリティ対策Lab
- Claude MythosがPHPのテンプレートエンジンのTwig(ツイッグ)の脆弱性を発見、危険な脆弱性(CVE-2026-46640・CVE-2026-46633)を含む13件の脆弱性を修正済み – セキュリティ対策Lab
- nginxの脆弱性 NGINX Rift(CVE-2026-42945)が公開3日でサイバー攻撃に悪用 – セキュリティ対策Lab








