「Linuxサーバーを使っているけど、一般ユーザーにroot取られる脆弱性があるって本当?」
「AndroidのPixelまで影響があるなら、自分のスマホも危ないの?」
Bad Epollって脆弱性でroot権限を99%の確率で取れるって聞いたんでしゅが、これって相当やばいんでしゅか!?
深刻な脆弱性だ。権限のない一般ユーザーが、Linuxシステムの完全な制御権を奪える。しかも成功率は99%で、AndroidのPixel最新機種まで影響が及ぶ。
2026年7月、Linuxカーネルに存在する特権昇格脆弱性「Bad Epoll」(CVE-2026-46242)のPoC(概念実証コード)が公開されました。
2023年に混入し3年間見逃されてきたこのバグは、権限のない一般ユーザーがrootを99%の確率で取得できるという極めて深刻なものです。
この記事では、Bad Epollの仕組みと影響範囲、そして今すぐ取るべき対策を解説します。
- CVE-2026-46242はLinux 6.4以降に存在するuse-after-free脆弱性で、一般ユーザーがroot権限を99%の成功率で取得可能
- 2023年4月に混入し2026年4月に修正済み。未適用のディストリビューションおよびAndroid 6.6系カーネルのPixel最新機種も影響
- AI監査ツール(AnthropicのMythos)が同じコード箇所の別バグを検出しながら本脆弱性を見逃したことも判明
Bad Epollの技術的な仕組みと、Linuxサーバー・Android端末の管理者が取るべき対応が分かります。
目次
Bad Epoll(CVE-2026-46242)とはどんな脆弱性か
Bad Epollは、Linuxカーネルが入出力イベントを管理する仕組み「epoll」に存在するuse-after-free脆弱性です。
2023年4月に取り込まれたコードに起因し、2026年4月まで約3年間、メインラインカーネルに潜んでいました。
6命令幅のレース条件が99%のrootを生む仕組み
脆弱性の核心は、epollのファイル解放処理における「close-vs-closeのレース条件」です。
ひとつのeventpollリストが別のファイルディスクリプタを監視していて、双方が同時にクローズされると、ひとつがオブジェクトを解放した後も、もうひとつがそのメモリに書き込み続けます。
この状態(use-after-free)を意図的に引き起こすことで、カーネルメモリを制御し特権昇格が可能になります。
発見者のJaeyoung Chung氏はこのレース条件を実証し、次の結果を得ています。
| 項目 | 詳細 |
|---|
| タイミング窓 | わずか6命令幅のレース条件 |
| root取得成功率 | 脆弱なマシン上で99% |
| 影響カーネルバージョン | Linux 6.4〜(2023年4月のコミット以降) |
| 修正コミット | a6dc643c6931(2026年4月24日) |
本脆弱性はGoogleのkernelCTFバグバウンティプログラムに0-dayとして提出され、71,337ドル以上の報奨金が支払われました。
AndroidのPixel最新機種まで影響が広がる理由
Linuxサーバーだけじゃなくてスマホにまで影響があるんでしゅか?Pixelを使っているので心配でしゅ……
AndroidはLinuxカーネルの上で動いている。6.6系カーネルを使う現行のPixel機種は、このバグが入ったコードを含んでいる。ローカル実行権限があるアプリがrootを取れるということだ。
Bad Epollの影響範囲は以下のとおりです。
- Linux 6.4以降のカーネルを使うデスクトップ・サーバー・コンテナ環境(修正コミット未適用のもの)
- Android 6.6系カーネルを搭載する現行Pixel機種(Pixel 8以降の最新ハードウェア)
- 6.1系カーネルのPixel 8より前の機種はバグ混入前のコードのため影響外
また今回、AnthropicのAIモデル「Mythos」が同じコード箇所の別脆弱性を発見していながら、Bad Epollを見逃していたことも注目されています。
AI監査ツールが「すぐ隣のバグ」を見落とした事実は、AI任せのコード審査の限界を示しています。
Bad Epollへの対応策と見落とせない教訓
PoC公開により攻撃者が利用できる情報が揃いました。
LinuxシステムとAndroid端末の管理者は速やかな対応が必要です。
今すぐ実施すべきパッチ適用とリスク低減策
修正策の優先順位は以下のとおりです。
- 利用中のLinuxディストリビューションでコミットa6dc643c6931が適用されたカーネルに更新する
- Android端末はGoogleのセキュリティアップデートを即時適用し、特にPixel 8以降の機種を優先する
- サーバーに不審な一般ユーザーアカウントが存在しないか確認し、最小権限の原則を徹底する
AI監査に頼り切らない多層的なコード審査の重要性
AIがすぐ隣のバグを見逃したって、AIってそんなに頼れないんでしゅか?
AIは強力なツールだが、全能ではない。今回のケースでは、同じコードブロック内のひとつを見つけ、もうひとつを見逃した。静的解析・ファジング・AIレビュー・人間のコードレビューを組み合わせる多層審査が基本だ。
今回の事例はコードセキュリティ審査にとっても重要な教訓を残しています。
AI自動審査を採用する組織が増える中、AIが「隣のバグ」を見逃すリスクは実在します。
ツールの種類を組み合わせた多層的な審査体制が、長期間潜伏する脆弱性を減らす現実的な方法です。
まとめ
Bad Epoll(CVE-2026-46242)は、3年間メインラインカーネルに潜み続けた特権昇格脆弱性です。
一般ユーザーが99%の成功率でrootを取得できるというPoCが公開された以上、パッチ未適用のLinuxシステムおよびAndroid端末は早急な対応が求められます。
カーネルアップデートとAndroidのセキュリティパッチを今すぐ確認しますでしゅ!
それで正しい。加えて、AI審査ツールが見逃したバグが今回のような形で出てくることを覚えておけ。AI任せのセキュリティレビューは過信禁物だ。
LinuxとAndroidの広範な普及を考えると、本脆弱性の影響を受けるシステムは世界中に存在します。
ディストリビューションのアップデートポリシーとAndroidセキュリティパッチの適用状況を今すぐ確認することが、最初の一歩です。