Ubuntu Desktop の脆弱性 CVE-2026-3888 が FIX:システム深部での競合状態と権限昇格

Ubuntu Desktop Vulnerability Lets Attackers Escalate Privileges to Full Root Access

2026/03/18 gbhackers — Qualys Threat Research Unit (TRU) が公開したのは、Ubuntu Desktop バージョン 24.04 以降のデフォルト・インストールに影響を及ぼす、深刻なローカル権限昇格 (LPE) の脆弱性である。脆弱性 CVE-2026-3888 (CVSS v3.1:7.8 High) を悪用する低権限のローカル攻撃者は、root への権限昇格を可能にし、ホスト・システムの完全な侵害を引き起こす恐れがある。この脆弱性の詳細を解説するのは、Qualys においてセキュリティ調査および脆弱性検出イニシアチブを統括するシニア・マネージャ Saeed Abbasi である。

根本原因:snap-confine/systemd-tmpfiles

この権限昇格の経路は、Ubuntu に標準搭載される 2 つの高権限ユーティリティ間の意図しない相互作用に起因する。1 つ目はスナップ・アプリケーションのセキュアな実行環境を管理する setuid root バイナリ “snap-confine” である。このバイナリは、マウント・ネームスペースの分離/cgroup 制御の強制/AppArmor ポリシーのロードを処理し、スナップの厳格なサンドボックス化を維持する。

2 つ目は “systemd-tmpfiles” であり、”/tmp” などの一時ディレクトリのライフサイクルを管理し、事前定義されたタイマーをベースに古いファイルを自動削除する。”snap-confine” はサンドボックス構築のために、特定の一時ディレクトリに依存する一方で、それらの領域は “systemd-tmpfiles” により定期的に削除されるため、クリーンアップ設定の不備により危険なローカル・レース・コンディションが発生する。したがって、この定期的なメンテナンス・サイクルを悪用する攻撃者は、セキュリティ境界の回避が可能となる。

CVE-2026-3888 の悪用手法
identified flaw (Souce: Qualys)
identified flaw (Source: Qualys)

この攻撃は時間に依存するものであり、攻撃の複雑度は高いと評価されている。つまり、”/tmp/.snap” ディレクトリを削除するタイミングを、”systemd-tmpfiles” が待つことが、攻撃の成功条件となる。

このディレクトリは、”snap-confine” の正常動作において必要であり、削除の対象となる期間は Ubuntu 24.04 では 30日、それ以降のバージョンでは 10日となっている。

“/tmp/.snap” ディレクトリが削除された直後に、攻撃者は当該ディレクトリを再作成し、悪意のあるペイロードを配置する。続いて、スナップ・アプリケーションのサンドボックス初期化時に、攻撃者が制御するファイルが、高権限の “snap-confine” により root 権限に無条件にバインド・マウントされる。この分離処理の欠陥を突く攻撃者は、ユーザー操作を必要とせずにシステムを掌握し、特権コンテキストで任意のコードを実行できる。

影響バージョンおよび対応策

Ubuntu Desktop 環境を運用する組織は、直ちにパッチを適用し、この脅威を軽減する必要がある。影響を受けるソフトウェアは以下の通りである。

  • Ubuntu 24.04 LTS:snapd 2.73+ubuntu24.04.1 未満
  • Ubuntu 25.10:snapd 2.73+ubuntu25.10.1 未満
  • Ubuntu 26.04 LTS 開発ブランチ:snapd 2.74.1+ubuntu26.04.1 未満

また、単体としての snapd 2.75 未満も影響を受ける。Ubuntu 16.04 〜 22.04 のレガシ LTS のデフォルト設定は影響を受けないが、新しい動作を模倣する環境ではリスクが生じるため、パッチ適用が推奨される。

追加のレース・コンディション (uutils coreutils)

Ubuntu 25.10 のリリースに向けた検証中に、uutils coreutils パッケージ (GNU coreutils の Rust 実装) においても、別のレース・コンディションが特定された。この rm ユーティリティの欠陥を突くローカル攻撃者は、root 権限で実行される日次の cron ジョブ中に、ディレクトリ・エントリをシンボリック・リンクへ置き換えることが可能になる。

これにより、任意ファイル削除が発生し、スナップ・サンドボックス・ディレクトリを標的とする、別の権限昇格のベクターとして悪用される可能性がある。Ubuntu Security Team は公開前に対策を実施し、デフォルトの rm コマンドを標準の GNU coreutils 実装へ戻すことでリスクを軽減している。

訳者後書:この脆弱性 CVE-2026-3888 は、Ubuntu の標準機能である “snap-confine” と “systemd-tmpfiles” の連携ミスに起因します。”snap-confine” は安全な環境を作るために一時的なディレクトリを使いますが、 “systemd-tmpfiles” により古いファイルと判断され、削除されてしまいます。この削除された瞬間に、攻撃者が偽のファイルを割り込ませることで、本来は一般ユーザーが開けない場所を root 権限で操作できてしまう レース・コンディションという現象が発生しています。ご利用のチームは、ご注意ください。よろしければ、Ubuntu での検索結果も、ご利用ください。