米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2025年6月17日、Linuxカーネルの脆弱性CVE-2023-0386を既知の悪用された脆弱性(KEV)カタログに追加し、この脆弱性が実際に悪用されていると発表した。
この脆弱性はCVSSスコア7.8で、LinuxカーネルのOverlayFSサブシステムにおける不適切な所有権管理のバグである。
攻撃者はこの脆弱性を悪用してローカルユーザーからroot権限への特権昇格が可能となる。
脆弱性は2023年1月に修正され、2023年3月に公開された。2023年5月にはGitHubで概念実証エクスプロイトが公開されている。
Datadogはこの脆弱性が簡単に悪用可能で、カーネルを騙してrootが所有するSUIDバイナリを作成し実行することで動作すると報告した。
CISAは連邦文民行政府機関に対し2025年7月8日までに必要なパッチを適用するよう義務付けている。
影響を受けるシステムにはDebian、Red Hat、Ubuntu、Amazon Linux、さらにはWindows Subsystem for Linux(WSL)も含まれる。
From:
CISA Warns of Active Exploitation of Linux Kernel Privilege Escalation Vulnerability
【編集部解説】
今回のCISAによる警告は、単なる脆弱性の報告を超えて、現代のサイバーセキュリティ環境における重要な転換点を示しています。CVE-2023-0386は2023年1月に修正されたにも関わらず、2年以上経った現在でも実際に悪用されているという事実は、パッチ管理の課題を浮き彫りにしました。
この脆弱性の技術的な仕組みは、LinuxのOverlayFSという仕組みに起因します。OverlayFSは、複数のファイルシステムを重ね合わせて一つのファイルシステムとして見せる技術で、Dockerコンテナなどで広く使われています。攻撃者は、この仕組みを悪用してroot権限を持つファイルを作成し、システム全体を乗っ取ることが可能になります。
特に注目すべきは、この攻撃の実行の容易さです。概念実証コードが公開されており、技術的な知識があれば数秒でroot権限を取得できるとされています。これは、従来の複雑な攻撃手法とは一線を画する脅威レベルといえるでしょう。
影響範囲の広さも深刻な問題です。Linuxカーネル6.2未満のすべてのシステムが対象となり、Debian、Red Hat、Ubuntu、Amazon Linux、さらにはWindows Subsystem for Linux(WSL)まで含まれます。クラウド環境やコンテナ化されたワークロードが普及する中、この脆弱性は企業のデジタルインフラ全体に影響を与える可能性があります。
興味深いのは、この脆弱性がGameOver(lay)攻撃群の一部として位置づけられていることです。CVE-2023-32629とCVE-2023-2640という別の脆弱性も同様の攻撃手法を可能にしており、OverlayFS周辺のセキュリティ設計に根本的な課題があることを示唆しています。
この事案は、オープンソースソフトウェアのセキュリティガバナンスについても重要な示唆を与えています。Linuxカーネルのような基盤技術の脆弱性は、世界中の無数のシステムに影響を与えるため、発見から修正、そして実際の適用まで一貫した管理体制の重要性が改めて浮き彫りになりました。
長期的な視点では、この事案はゼロトラスト・セキュリティモデルの重要性を再確認させるものです。システム内部のユーザーであっても信頼せず、常に権限を最小限に制限するアプローチが、今後のサイバーセキュリティ戦略の中核となるでしょう。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
情報セキュリティ分野で使用される脆弱性識別システム。各脆弱性に一意の番号を割り当てて管理する国際標準。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0のスコアで評価する標準的な指標。7.0以上は高重要度とされる。
OverlayFS
複数のファイルシステムを重ね合わせて一つのファイルシステムとして見せるLinuxの機能。Dockerコンテナなどで広く使用される。
SUID(Set User ID)
Linuxにおいて、ファイル実行時に所有者の権限で実行される特殊な権限設定。rootが所有するSUIDファイルは強力な権限を持つ。
特権昇格
システム上で通常のユーザー権限からより高い権限(root権限など)を取得する攻撃手法。
KEV(Known Exploited Vulnerabilities)カタログ
CISAが管理する、実際に悪用が確認された脆弱性のリスト。連邦政府機関に対してパッチ適用を義務付ける。
BOD 22-01
2021年に発行されたCISAの拘束力のある運用指令。連邦政府機関に対してKEV脆弱性の修正を義務付ける。
GameOver(lay)
Wizが発見したUbuntu OverlayFSの脆弱性群の通称。CVE-2023-32629とCVE-2023-2640を指す。
【参考リンク】
CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)(外部)
米国の国家サイバーセキュリティを担当する政府機関。重要インフラの保護とサイバー脅威対策を統括する。
Datadog(外部)
クラウドコンピューティング用の監視・分析プラットフォームを提供するSaaS企業。インフラとアプリケーションの包括的な監視サービスを展開。
Wiz(外部)
クラウドセキュリティに特化したプラットフォームを提供する企業。エージェントレスでマルチクラウド環境の包括的なセキュリティ監視を実現。
NVD(National Vulnerability Database)(外部)
米国標準技術研究所が運営する脆弱性データベース。CVE-2023-0386の詳細情報を提供。
Qualys(外部)
クラウドベースのセキュリティ・コンプライアンス・IT監査ソリューションを提供する企業。脆弱性管理とセキュリティ評価のリーディングカンパニー。
【参考記事】
CISA Known Exploited Vulnerabilities Catalog(外部)
CISAが管理するKEVカタログの公式ページ。CVE-2023-0386が2025年6月17日に追加されたことを確認できる。
The OverlayFS vulnerability CVE-2023-0386 – Datadog Security Labs(外部)
Datadogのセキュリティ研究チームによるCVE-2023-0386の技術的詳細解説。攻撃手法の仕組みと概念実証コードの動作原理を説明。
Wiz Discovers Two Vulnerabilities in Ubuntu’s OverlayFS module(外部)
WizがUbuntu OverlayFSで発見したGameOver(lay)脆弱性(CVE-2023-2640、CVE-2023-32629)の詳細レポート。Ubuntu利用者の約40%に影響。
CISA warns of attackers exploiting Linux flaw with PoC exploit(外部)
BleepingComputerによるCVE-2023-0386の詳細分析記事。概念実証コードの存在と攻撃の容易さについて報告。
CISA Alerts to Active Exploits of Linux Kernel Ownership Flaw(外部)
GB Hackersによる脆弱性の技術的詳細と影響範囲の分析記事。企業環境での対策について具体的な推奨事項を提示。
CISA Alerts on Linux Kernel Flaw Exploited in Attacks(外部)
Cyber Pressによる脆弱性の技術的メカニズムと攻撃手法の詳細解説。FUSE マウントとOverlayFSの悪用方法について説明。
【編集部後記】
CVE-2023-0386は2023年1月に修正されているにも関わらず、2年半近く経った今でも実際に悪用されているという現実は、サイバーセキュリティの複雑さを物語っています。
この脆弱性はDockerやWSLといった、私たちの日常的な開発環境にも影響を与える可能性があります。
読者の皆さんは、自社のLinuxシステムやコンテナ環境で、このような「古い」脆弱性への対策をどう進めていますか?
セキュリティは一人で解決できる問題ではありません。
皆さんの経験や知見を共有していただけると、とても心強いです。
