チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「LinuxサーバでSSH鍵が一般ユーザーから盗まれるって、本当に起こるの?」
「Movable Typeまで緊急対応するほど、何が深刻なの?」
チップスボス、Linuxのssh-keysign-pwnって脆弱性、SSH鍵まで盗まれちゃうって本当でしゅか?
ボスうむ、5月14日にQualys Threat Research Unitが公表したCVE-2026-46333だ。ローカルユーザーがroot権限のファイルを読める。日本ではMovable Typeが5月18日に緊急対応を公表した。
本記事ではLinuxカーネルの新たな脆弱性ssh-keysign-pwnの仕組みと、Movable Typeなど日本ベンダーの対応、自社サーバで取るべき行動を解説します。
Linuxを運用するすべての組織が確認すべき内容です。
続きを読めば、自社のLinuxカーネルが安全かを判定し、対応すべき優先順位が見えてきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
難解な名前ですが、攻撃の本質はシンプルです。
カーネルの安全装置が一瞬だけ外れる、その隙を突くタイプの脆弱性です。
脆弱性の根本はLinuxカーネルのptraceアクセス制御、__ptrace_may_access()におけるロジック不備にあります。
SUIDバイナリ(ssh-keysignやchageなど)の終了処理中、メモリコンテキストはNULLになる一方でファイルディスクリプタは残ったままという短い窓が存在します。
非特権ユーザーがpidfd_getfd()を使い、この窓を狙ってrootが開いたファイルディスクリプタを横取りすることで、SSH秘密鍵や/etc/shadowが読み取れます。
主な技術ポイントは表のとおりです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-46333(通称ssh-keysign-pwn) |
| 影響 | SSH秘密鍵・/etc/shadowなどroot所有ファイルの読み取り |
| 前提条件 | ローカルユーザー権限、PoCは100〜2000回試行で成功 |
| 修正版 | 7.0.8/6.18.31/6.12.89/6.6.139/6.1.173/5.15.207ほか |
GitHubには「ssh-keysign-pwn」のPoCが公開され、レースに数百〜数千回挑むだけで成功するとされています。
多人数が利用するサーバや、CI/CD用の共有ホスト、踏み台サーバなどは特に危険です。
Linus Torvalds自身がアップストリームに修正をマージしたほど深刻と評価されており、対応の先送りはリスクが高い状況です。
チップス共有サーバって意外と多いでしゅよね…誰でも入れる踏み台とか怖いでしゅ。
ボスうむ、ローカル権限を持つ全員が潜在的な攻撃者になり得る。ホスティング業者にとっては死活問題だ。
影響範囲が広いだけに、サービス提供者の対応速度がカギを握ります。
Movable Typeの動きをひも解きつつ、自社の打ち手も整理しましょう。
シックス・アパートは2026年5月18日付の告知で、Movable Type Cloud全契約者について5月16日朝までにカーネルパッチ適用を完了したと発表しました。
バージョン番号は変更されておらず、利用者側の追加作業は不要です。
一方でMovable Type AMI版利用者にはAmazon Linuxのセキュリティ情報を参照するよう呼びかけており、自己責任範囲を明確にしています。
自社で確認すべき項目を整理します。
マネージドサービスとセルフホストでは、利用者が負うべき責任が異なります。
Movable Type Cloudのようなマネージド契約はベンダーが自動でパッチを当てますが、AMI・IaaSではユーザーがカーネル更新の責任を持ちます。
同じ製品名でも提供形態でリスクが変わるため、自社利用しているプランの責任分界を改めて確認するのが安全です。
チップス同じMovable Typeでも、AMI版だと自分で守らないといけないんでしゅね…
ボスうむ、契約書を眺めるだけで分かることもある。誰がカーネルを当てるのか、明文化しておけ。
PoC公開済みかつローカル権限で成立する脆弱性は、対応を1日遅らせるごとにリスクが積み上がります。
ssh-keysign-pwnへの優先行動を整理します。
チップスSSH鍵、全部入れ替えるしかないかもでしゅね…
ボスうむ、漏れたかもしれない鍵は使い続けない。手間を惜しめば、後でもっと痛い目に遭う。
詳しい情報はシックス・アパートのお知らせとQualys Threat Research Unitの公表内容を参照してください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
