epoll脆弱性CVE-2026-46242、Mythos見逃す
Linuxカーネルのepollサブシステムに深刻な競合状態のUse-After-Free脆弱性が発見された。AnthropicのAI「Mythos」が同じコード領域で別バグを発見した一方、本脆弱性は見逃している。
Linuxカーネルのepollサブシステムに深刻な脆弱性CVE-2026-46242(通称Bad Epoll)が発見された。競合状態(race condition)によるUse-After-Free(解放後使用)の欠陥であり、非特権プロセスがルート権限を取得できる。Android端末も影響を受け、同プラットフォームでは稀な権限昇格経路となる。
本脆弱性は研究者のJaeyoung Chung氏により、Google kernelCTFへのゼロデイ提出として報告・エクスプロイトが作成された。報酬は7万1337ドル以上に設定されている。
注目すべきは、AnthropicのAIエージェント「Mythos」が同じepollコード領域を調査しながら、本脆弱性を見逃した点だ。Mythosは別の競合バグ(CVE-2026-43074)を発見することに成功したが、Bad Epollは捕捉できなかった。同AIは合計約2500行のepollコードから2つの重大な競合状態を見つけ出したが、そのうちの1つを見落とした形となる。
脆弱性の詳細
Bad Epollは2023年の1つのコミットでepollコードに導入された2つの競合状態のうち、Mythosが見逃した方のバグだ。もう1つのバグ(CVE-2026-43074)はMythosによって発見され、独立した研究者が後日kernelCTF向けの1-dayエクスプロイトを提出している。
Bad Epollのレースウィンドウはわずか約6命令幅しかない。通常の試行ではほとんどヒットしないが、Chung氏はこのウィンドウを拡大し、カーネルをクラッシュさせないリトライループを実装した。その結果、攻撃の信頼性は99%に達する。
本脆弱性はKASAN(Kernel Address SANitizer)では検出されにくいという特徴がある。CVE-2026-43074が修正された後も、Bad EpollによるUse-After-FreeはKASANのトリガーを通常発生させない。このシグナルの欠如が、Mythosが脆弱性を報告する確信を持てなかった要因の1つと見られる。
なぜ深刻か
Bad Epollの最大の脅威はAndroid端末をルート化できる点にある。Jaeyoung Chung氏の報告によれば、Google kernelCTFでこれまでに悪用された約130件の脆弱性のうち、Androidのルート化に利用可能な候補は10件程度しかない。Bad Epollはその1つだ。
Copy Failやその亜種など、多くのLinux権限昇格バグはAndroidが決して読み込まないモジュールに依存しており、Androidへの適用が不可能だった。epollはカーネルコア機能であり、無効化する手段(kill-switch)も存在しない。オペレーティングシステム、ネットワークサービス、ブラウザがすべてepollに依存しているため、パッチ適用以外の回避策はない。
さらに深刻なのは、Chromeのレンダラーサンドボックス内部からトリガー可能な点だ。他のほとんどのカーネルバグはサンドボックスによりブロックされるが、Bad Epollはこの制限を回避できる。レンダラーのエクスプロイトと連鎖させることで、カーネルコード実行が達成可能となる。Google Project Zeroが「From Chrome renderer code exec to kernel with MSG_OOB」で実証したのと同様の攻撃経路が現実の脅威となる。
Mythosが見逃した理由
MythosがBad Epollを見逃した背景には、いくつかの要因があると分析される。第一にレースウィンドウが極めて狭い点だ。約6命令幅のタイミングを正確に想像することは、人間のコードレビュアーでも困難であり、AIにとっても同様だった可能性がある。
第二に実行時の証拠が乏しかった点だ。CVE-2026-43074の修正後、Bad EpollのUse-After-FreeはKASANを通常トリガーしない。Mythosがこの領域を実質的な深さで調査したとしても、十分な確信を持って脆弱性を報告する根拠を得られなかったと推測される。
ただし、Mythosが同一の小さなepollコードパスで最初のバグを発見した事実は、同AIがこの領域を有意義な深さで分析していたことを示している。カーネルの競合バグは発見が極めて難しいとされており、MythosによるCVE-2026-43074の発見自体は顕著な成果と言える。
修正と対策
本脆弱性の唯一の修正方法は、Linuxカーネルにパッチを適用することだ。epollはカーネルコア機能であるため、モジュールのアンロードによる無効化は不可能。現時点でパッチがリリースされているかは公開情報からは不明だが、Google kernelCTFの参加者や関連するセキュリティチームには詳細が共有されている可能性が高い。
影響を受けるシステムは、Linuxデスクトップ・サーバーに加え、Androidデバイス全般に及ぶ。特にChromeブラウザを利用する環境では、レンダラーサンドボックスを突破されるリスクがあるため、迅速なパッチ適用が求められる。
編集部の見解
短期的には、パッチの早期適用が急務である。とりわけAndroidエコシステムでは、端末メーカーやキャリアによるアップデート配信に時間を要する点が懸念される。Chromeレンダラーとの連鎖攻撃が実証されたことで、ブラウザ経由の攻撃経路が現実の脅威として浮上した。企業のセキュリティチームは、自社のLinuxサーバーだけでなく、従業員のAndroid端末やブラウザ利用環境も含めた対応が求められる。 長期的に見れば、AIによるコードレビューの限界が改めて露呈した格好だ。最先端のAIモデルであるMythosでも、わずか約2500行のコードから2つの重大バグのうち1つを見逃した。AIは競合バグの発見に有効である一方、人間のセキュリティ研究者による検証と補完が依然として不可欠である。AIと人間の協調アプローチが、カーネルセキュリティの向上に最も効果的な戦略と言えそうだ。 編集部としては、AIによる脆弱性発見の評価基準そのものを問い直す必要があると考える。Mythosが発見したバグだけを見れば成果と言えるが、見逃したバグの存在をどう評価するか。
参考
- Lobsters — 2026-07-04T18:40:12.000Z公開
よくある質問
- Bad Epoll脆弱性の影響を受けるシステムは?
- Linuxデスクトップ・サーバーに加え、Androidデバイス全般が影響を受ける。特にChromeブラウザのレンダラーサンドボックスからトリガー可能な点が深刻で、ブラウザ経由の攻撃経路が現実の脅威となる。
- MythosはなぜBad Epollを見逃したのか?
- レースウィンドウが約6命令幅と極めて狭く、正確なスレッドインターリーブの想像が困難だったことに加え、KASANで検出されにくい特性があったため、AIが十分な確信を持てなかった可能性がある。
- どうすればシステムを保護できるか?
- 唯一の対策はLinuxカーネルにパッチを適用すること。epollはカーネルコア機能のため、モジュールのアンロードなど無効化手段は存在しない。影響を受ける全システムへの迅速なパッチ適用が求められる。 ## 参考 - [Bad Epoll - GitHubリポジトリ](https://github.com/J-jaeyoung/bad-epoll) — 2026-07-04公開 - [Google kernelCTF](https://google.github.io/kernelctf/) — 関連プログラム情報
コメント