チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「LinuxサーバでSSH鍵が一般ユーザーから盗まれるって、本当に起こるの?」
「Movable Typeまで緊急対応するほど、何が深刻なの?」
チップスボス、Linuxのssh-keysign-pwnって脆弱性、SSH鍵まで盗まれちゃうって本当でしゅか?
ボスうむ、5月14日にQualys Threat Research Unitが公表したCVE-2026-46333だ。ローカルユーザーがroot権限のファイルを読める。日本ではMovable Typeが5月18日に緊急対応を公表した。
本記事ではLinuxカーネルの新たな脆弱性ssh-keysign-pwnの仕組みと、Movable Typeなど日本ベンダーの対応、自社サーバで取るべき行動を解説します。
Linuxを運用するすべての組織が確認すべき内容です。
続きを読めば、自社のLinuxカーネルが安全かを判定し、対応すべき優先順位が見えてきます。
オススメ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
難解な名前ですが、攻撃の本質はシンプルです。
カーネルの安全装置が一瞬だけ外れる、その隙を突くタイプの脆弱性です。
脆弱性の根本はLinuxカーネルのptraceアクセス制御、__ptrace_may_access()におけるロジック不備にあります。
SUIDバイナリ(ssh-keysignやchageなど)の終了処理中、メモリコンテキストはNULLになる一方でファイルディスクリプタは残ったままという短い窓が存在します。
非特権ユーザーがpidfd_getfd()を使い、この窓を狙ってrootが開いたファイルディスクリプタを横取りすることで、SSH秘密鍵や/etc/shadowが読み取れます。
主な技術ポイントは表のとおりです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-46333(通称ssh-keysign-pwn) |
| 影響 | SSH秘密鍵・/etc/shadowなどroot所有ファイルの読み取り |
| 前提条件 | ローカルユーザー権限、PoCは100〜2000回試行で成功 |
| 修正版 | 7.0.8/6.18.31/6.12.89/6.6.139/6.1.173/5.15.207ほか |
GitHubには「ssh-keysign-pwn」のPoCが公開され、レースに数百〜数千回挑むだけで成功するとされています。
多人数が利用するサーバや、CI/CD用の共有ホスト、踏み台サーバなどは特に危険です。
Linus Torvalds自身がアップストリームに修正をマージしたほど深刻と評価されており、対応の先送りはリスクが高い状況です。
チップス共有サーバって意外と多いでしゅよね…誰でも入れる踏み台とか怖いでしゅ。
ボスうむ、ローカル権限を持つ全員が潜在的な攻撃者になり得る。ホスティング業者にとっては死活問題だ。
影響範囲が広いだけに、サービス提供者の対応速度がカギを握ります。
Movable Typeの動きをひも解きつつ、自社の打ち手も整理しましょう。
シックス・アパートは2026年5月18日付の告知で、Movable Type Cloud全契約者について5月16日朝までにカーネルパッチ適用を完了したと発表しました。
バージョン番号は変更されておらず、利用者側の追加作業は不要です。
一方でMovable Type AMI版利用者にはAmazon Linuxのセキュリティ情報を参照するよう呼びかけており、自己責任範囲を明確にしています。
自社で確認すべき項目を整理します。
マネージドサービスとセルフホストでは、利用者が負うべき責任が異なります。
Movable Type Cloudのようなマネージド契約はベンダーが自動でパッチを当てますが、AMI・IaaSではユーザーがカーネル更新の責任を持ちます。
同じ製品名でも提供形態でリスクが変わるため、自社利用しているプランの責任分界を改めて確認するのが安全です。
チップス同じMovable Typeでも、AMI版だと自分で守らないといけないんでしゅね…
ボスうむ、契約書を眺めるだけで分かることもある。誰がカーネルを当てるのか、明文化しておけ。
PoC公開済みかつローカル権限で成立する脆弱性は、対応を1日遅らせるごとにリスクが積み上がります。
ssh-keysign-pwnへの優先行動を整理します。
チップスSSH鍵、全部入れ替えるしかないかもでしゅね…
ボスうむ、漏れたかもしれない鍵は使い続けない。手間を惜しめば、後でもっと痛い目に遭う。
詳しい情報はシックス・アパートのお知らせとQualys Threat Research Unitの公表内容を参照してください。
オススメ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
