匿名研究者、15製品のゼロデイ脆弱性を公開

The Registerの報道によれば、匿名のセキュリティ研究者bikiniが、15のソフトウェア製品およびオープンソースプロジェクトにわたるゼロデイ脆弱性のエクスプロイトコードを、ベンダーやメンテナーへの事前通知なしに公開した。このコードは現在削除されたGitHubリポジトリ「exploitarium」に投稿されていた。少なくとも2件の脆弱性については、すでに攻撃が行われていることが確認されている。

この事例は、責任ある開示（responsible disclosure）の原則に従わない研究者の行動として注目を集めている。過去数カ月にわたりMicrosoftの脆弱性を公開し続けているNightmare Eclipseを想起させるが、bikiniは特定のベンダーに対する怨念ではなく、広範な製品群を標的にしている点で異なる。

攻撃が確認された2件の脆弱性

最初の脆弱性はCVE-2026-55200で、SSH2プロトコルを実装するクライアントサイドCライブラリlibssh2における認証前リモートコード実行（RCE）の重大な問題である。攻撃者は細工したSSHパケットのpacket_length値を過大に設定することで、ヒープメモリを破損させ、リモートコード実行を達成できる。

この脆弱性に対する修正はlibssh2のメインライン開発ブランチにすでにマージされており、メンテナーは修正を含むリリースの準備を進めている。ただし、エクスプロイトコードが公開された時点では、公式パッチを含む安定版リリースは提供されていなかった。

2件目はCVE-2026-20896で、セルフホスト型GiteaのDockerデプロイメントに影響する認証バイパスの重大な脆弱性である。認証されていないリモート攻撃者が任意のユーザーを偽装し、Gitサーバーを完全に乗っ取ることが可能となる。この問題はGitea 1.26.3で修正されている。

影響を受ける製品の範囲

bikiniが公開したエクスプロイトコードと脆弱性の解説文書は、以下の製品およびプロジェクトをカバーしている：libssh2、Splunk、RustDesk、7-Zip、VLC、AnyDesk、OpenVPN、c-ares、Gitea、Floci。これらのうち、The Registerはエクスプロイトが実際に動作するかどうかや主張の真偽を検証していない。

bikiniはリポジトリ内のコードについて「これらのエクスプロイトはどこにも報告されていない。自分で報告してCVEを取得し、功績を得たければ自由にやれ」と記していた。一方で「乱用しないでほしい。これは人々をこの分野に引き込むためのものだ」とも述べており、行動の意図に矛盾がある。

AIによる脆弱性発見の可能性

Federal SignalのアナリストEthan Andrewsは、bikiniがGPT-5.5 Codexのような高度なAIモデルを活用してファジングと脆弱性発見を自動化した可能性を指摘している。Andrewsは、このデータダンプに対応して44個のKQL検出ルールを構築した。

この指摘は、AIのセキュリティ分野への影響が顕在化しつつあることを示している。AIによる脆弱性発見の自動化が進めば、これまで人間の研究者が発見できなかった脆弱性が大量に発見され、セキュリティチームの対応能力を超える事態（vulnpocalypse）が現実味を帯びてくる。

セキュリティ業界への影響

今回の事例は、責任ある開示の枠組みが持つ限界を改めて浮き彫りにした。ベンダーに事前通知せずにエクスプロイトを公開する行為は、ユーザーにパッチ適用の猶予を与えず、攻撃者に有利な状況を作り出す。

一方で、bikiniの行動がセキュリティ研究の裾野を広げるという主張には、一定の理解も示されている。クローズドな脆弱性情報が一部の研究者や企業に独占される状況に対して、情報を公開することで多くの人材が参入できるという論理である。しかし、無防備なユーザーを危険にさらす結果を伴う点で、倫理的に問題がある。

libssh2のような広く使われているライブラリの脆弱性が公開された場合、その影響は当該ライブラリを利用するすべてのソフトウェアに波及する。SSH2プロトコルはシステム管理やファイル転送など広範な用途で利用されており、RCE脆弱性が悪用されれば、サーバーへの完全な侵害につながる。

Giteaの脆弱性も深刻である。セルフホスト型のGitサーバーは企業のソースコード管理の中核を担っており、認証バイパスにより全リポジトリが攻撃者の制御下に置かれる可能性がある。すでに攻撃が確認されていることから、Gitea 1.26.3未満のバージョンを運用している組織は直ちにアップデートを実施する必要がある。

今後の展望と対策

セキュリティチームは、今回公開された脆弱性のうち未修正のものについて、一時的な緩和策を検討する必要がある。libssh2については、パッチを含むリリースが準備中であるため、公式リリースを待つ間はSSH接続の制限やネットワークレベルの対策が求められる。

また、AIを活用した脆弱性発見が一般化すれば、同様の「exploitarium型」の大規模公開が今後も発生する可能性が高い。セキュリティ業界は、AIによって発見された脆弱性の報告プロセスや、事前通知なしの公開に対する法的・倫理的な枠組みを整備する必要がある。

組織としては、サプライチェーン全体のセキュリティ管理を強化し、利用しているOSSライブラリのバージョンを常に最新に保つことが基本的な対策となる。特に今回のケースでは、libssh2、Gitea、c-aresなどネットワーク関連のライブラリが含まれており、影響範囲が広い。

編集部の見解

短期的には、今回公開された脆弱性のうち未修正のものに対する攻撃が活発化する可能性が高い。セキュリティチームは公開された情報をもとに自社環境への影響を即座に評価し、可能な限りの緩和策を講じる必要がある。特にlibssh2とGiteaの脆弱性はすでに攻撃が確認されており、対応の緊急性が高い。業界全体として、事前通知なしの脆弱性公開に対するインシデント対応プロセスを標準化する契機となるだろう。 長期的には、AIによる脆弱性発見の自動化がセキュリティ業界の構造を変革する可能性がある。今回の事例が示すように、AIを活用すれば人間の研究者の何倍もの速度で脆弱性を発見できる。これにより、発見された脆弱性の数がセキュリティチームの処理能力を上回る「脆弱性過剰供給」の時代が到来するかもしれない。そのような環境下では、優先順位付けや自動パッチ適用の高度化が求められる。 編集部としては、bikiniの行動が「セキュリティ研究の民主化」と言えるのか、それとも単なる無責任な暴露なのか、判断が分かれるところだ。

参考

• Anonymous researcher drops 0-day ‘exploitarium’ repo - The Register — 2026-06-29公開