AI News HubLIVE
サイト内リライト3 分で読了

AIが15年間見逃されていたLinuxルートバグを発見

Nebula SecurityがAIツールVEGAを使用し、Linuxカーネルに15年間存在した特権昇格の脆弱性(CVE-2026-43499)を発見。ログインしたユーザーなら誰でもroot権限を取得可能。2011年以降、ほぼすべてのメジャーディストリビューションにデフォルトで含まれていた。4月に修正されたが、パッチの配布は不均一。

ソースHacker News AI著者: crowd51

今週のセキュリティニュース:AIが15年間見逃されたLinuxカーネル脆弱性を発見、Flockカメラの誤報で記者が警察に停車される、ICE請負業者Accentureがデータ漏洩、国防総省が低賃金のサイバー見習い制度を開始。

AIがLinuxカーネル脆弱性を発見(CVE-2026-43499)

Nebula Securityは「GhostLock」(CVE-2026-43499)のエクスプロイトコードを公開した。このuse-after-free脆弱性は2011年からほぼすべてのメジャーディストリビューションにデフォルトで含まれており、ログインしたユーザーが特別な権限やネットワークアクセスなしでroot権限を取得できる。Nebulaのエクスプロイトはコンテナも脱出でき、テストでは97%の信頼性を示した。GoogleのkernelCTFプログラムを通じて92,337ドルの報奨金を獲得した。脆弱性は4月に修正されたが、パッチの配布は不均一で、7月初旬時点でUbuntuの24.04、22.04、20.04 LTSは依然として脆弱性ありまたは修正中とされており、ユーザーはパッケージを確認する必要がある。

特筆すべきは、NebulaがAI駆動のバグハンティングツールVEGAを使用してこの脆弱性を発見したことだ。これは2026年に自動化ツールが古いカーネルコードを調査して発見した一連のLinux特権昇格脆弱性の一部である。

Flockカメラの誤報で記者が警察に停車される

記者Joel Federは『The Drive』で、6月下旬にミネソタ州プリマスのKohl's駐車場で4台のパトカーに囲まれたと報告した。警官は叫び、銃に手をかけていた。原因はFlockのナンバープレートカメラが、ニュージャージー州のディーラーから借りていた15万5千ドルのRange Roverを盗難車としてフラグ付けしたためだった。Federによると、警察は数日前からこのSUVを追跡していたが、それは入力ミスによるものだった。

問題は2,000マイル離れた場所でのデータ入力ミスに起因する。ジャガー・ランドローバー社のフリートプレート「34 03 DTM」がロサンゼルス警察に紛失届け出されたが、システムには「34 DTM」と入力された。ニュージャージー州のメーカープレートで使われる小さな中央数字が省略されたのだ。Flockのカメラは大きな文字を読み取り、非標準構造を無視して、一致する車両に対して警報を発し始めた。Federによると、同じ週に同じナンバープレート形式を持つ他の4台のランドローバーもミネソタ州で追跡されており、彼が最初に停車されただけだった。

一連の警察活動のきっかけとなったプレートは実際には盗まれておらず、写真撮影中に置き忘れられただけだった。皮肉なことに、この出来事は『The Drive』がFlockの過剰な対応についての記事を公開してから2週間も経たないうちに発生した。

ICE請負業者Accentureがデータ漏洩

コンサルティング大手Accentureは、脅威行為者「888」が35GBのデータ(ソースコード、RSA/SSH鍵、Azureアクセストークン、設定ファイル)を窃取し、サイバー犯罪フォーラムで販売していると主張した後、セキュリティ侵害を確認した。Accentureは「孤立した問題」とし、原因を修正し、事業への影響はないと述べたが、実際に何が盗まれたかや攻撃方法についてはコメントを控えた。888は主張を裏付けるため、編集済みのAccenture.comホスト上のクローンAzure DevOpsリポジトリを示すスクリーンショットを投稿した。BleepingComputerは全容を確認できなかった。これは888の同社への初めての攻撃ではない。2024年にはサードパーティの侵害後のAccenture従業員データを販売しようと試み、Accentureは2021年にはLockBitランサムウェアの被害にも遭っている。

侵害のタイミングは特に厄介である。Accentureの連邦部門は2021年9月からICEの「サイバー防衛・情報支援サービス」契約を保持しており、同庁のネットワークに対する24時間体制の脅威監視、侵入検知、インシデント対応を提供している。この契約は約5,650万ドルのタスクオーダーで、8月末に期限切れとなり、現在再競争中である。

国防総省がアマチュアハッカーの軍隊を訓練する計画だが、生活賃金は支払わず

国防総省は今週、サイバーRAPPという有給見習い制度の応募を開始した。この制度は、サイバー関連の学位や経験がなく、学習能力がある人材を募集し、12か月のフルタイム勤務で国防総省のネットワークを守る訓練を行う。国防総省のCIO、Kirsten Daviesは「アカデミックなゲートキーピング」を排除し、「生の適性、愛国心、実践能力」を重視すると述べた。しかし、年収はわずか22,584ドルで、脱落した場合は訓練費用を政府に返還しなければならない。

これが内部で人材を育成する方法だ。もう一つの選択肢は外部委託である。上院軍事委員会の2027会計年度国防権限法案の条項により、国防長官Pete Hegsethは「請負業者が所有・運営する手段」でサイバー作戦を実行するパイロットプログラムを開始できる。これは政府公認のハッカー雇用作戦となる。

批評家はこれが越線だと考えている。元バイデン政権のサイバー高官Nick Leisersonは、ハッカー雇用計画は「世界的なサイバー不安定性を助長する」と述べ、米国が同様の行為で中国の請負業者を制裁したことを指摘した。

このアイデアには先例がある。昨年、アリゾナ州下院議員David Schweikertは「詐欺農場私掠許可法」を提出した。これは大統領が私掠免許状(米国が最後に発行したのは1812年の米英戦争)を発行し、民間事業者が外国のサイバー犯罪者の資産(米国人を対象とした詐欺に関連する暗号通貨ウォレットなど)を差し押さえることを認めるものだ。この法案は委員会に送られたが、採決されることはなかった。