rootシェルアクセスに繋がり得るOpenSSHの脆弱性、15年にわたり発見されず（CVE-2026-35414）

佐々山 Tacos

2026.04.28

rootシェルアクセスに繋がり得るOpenSSHの脆弱性、15年にわたり発見されず（CVE-2026-35414）

SecurityWeek – April 27, 2026

過去15年間にリリースされたOpenSSHの各バージョンには、攻撃者によるrootシェルアクセスを可能にする恐れがある脆弱性CVE-2026-35414が存在していたとデータセキュリティ企業のCyeraが報告。同社によると、これを悪用された場合、ログベースの検知機能では攻撃を発見することはできないという。

CVE-2026-35414は、特定の稀なシナリオにおいて、「authorized_keys」の「principals」オプションが適切に処理されないことに起因する脆弱性。具体的には、カンマ文字を含む認証局（CA）のプリンシパルリストが使用された場合、OpenSSHが入力値を誤って解釈する可能性があるという。

Cyeraによれば、コードの再利用エラーに由来するこの脆弱性の存在により、SSH証明書のプリンシパル名にカンマが含まれている場合にOpenSSHのアクセス制御がバイパスされ、ユーザーがrootとして認証することが可能になるとされる。具体的には、カンマがパーサーによってリスト区切り文字として誤って解釈され、低権限のIDがrootの認証情報に変換されてしまう。ただしこの際、ユーザーは、信頼されたCAが発行した有効な証明書を有している必要がある。

Cyeraは、テスト用の証明書を使ってテストサーバー上でroot権限を取得することに成功。攻撃者による悪用が成功した場合の影響については、組織が保有するサーバーで脆弱なプロトコルが使用されている場合、それら全サーバーでのrootアクセス取得が可能になる恐れがあると説明した。なおサーバーは攻撃者による認証を正当なものと解釈するため、攻撃が認証の失敗としてログに記録されることはなく、ログに基づく検知の信頼性が極めて低くなってしまうという。

CVE-2026-35414は4月2日リリースのOpenSSHバージョン10.3で解消されている。組織には、自組織の環境を監査し、可及的速やかにパッチ済みバージョンへのアップデートを実施することが推奨される。

SMSブラスター装置が数千台の携帯電話を通信網から切断、緊急通報番号への発信も妨害　カナダ

Digital – April 27, 2026

スミッシング（SMSフィッシング）用テクノロジーが、非常に危険なレベルにまで進化しているという。カナダ・トロントで使用された「SMSブラスター」装置の機能について、テクノロジーメディアDigitalが報じている。

トロント警察は最近、SMSブラスターと呼ばれる高度な傍受用デバイスを搭載した自動車で市内を移動し、街行く人々の携帯電話に偽のSMSメッセージを送りつける攻撃に関与したとして容疑者3人を逮捕したことを発表した。

SMSブラスターは、正規の携帯電話基地局を装って機能する。今回のトロントの攻撃のように、SMSブラスターは多くの場合、市街を走る車の中などに設置され、正規の基地局よりも人々の間近でより今日強力な電波を発信することにより、ターゲット端末を正規のネットワークから切り離してSMSブラスターへと接続させる。これにより、攻撃者はこの装置を通じて偽のテキストメッセージを直接ターゲット端末へ送信することが可能となる。メッセージは、銀行や政府機関からの公式な連絡であるかのように携帯電話の画面に表示されるという。

この攻撃の問題は、単に被害者端末からデータが盗まれたことだけに過ぎず、物理的に通信が麻痺させられた点にあるとDigitalは指摘。トロントの事件を担当した捜査官らによると、攻撃者は数万台ものモバイル端末をSMSブラスターに接続させて侵害し、1,300万回ものネットワーク障害を生じさせたとされる。これにより、影響を受けた端末は正規の携帯電話ネットワークへのアクセスを妨げられ、911などの緊急通報サービスも利用できない状態に陥ったという。

トロント警察のRobert Johnson副署長は記者会見において、今回使用されたSMSブラスター装置には一度に数千台携帯端末へスミッシング攻撃を仕掛ける性能があった点に言及し、この事件の「スケールとインパクト」が特に懸念材料となっていると指摘。加えて、911への通報が不能になるなど、たとえ一時的であっても正規ネットワークへの接続が切断された点は、単なる金銭的リスクを超えて公共の安全にも深刻な影響を及ぼすものだったとの見解を示した。

安全上の理由から、押収されたSMSブラスター装置の写真は公開されていない。カナダ当局によれば、犯罪者らはこれらの装置を「独自に構築」していたという。

カナダでこの種のSMSブラスター攻撃が確認されたのは初めてだったものの、「不正な基地局」を使ったこの種のモバイル攻撃は、テロリズムやスパイ行為などの文脈も含め世界各地で成長中とされる。例えば2024年には、フィリピン当局が「IMSIキャッチャー」と呼ばれる似たような偽基地局装置を使っていた2人の容疑者を逮捕。これらの容疑者は、IMSIキャッチャーを搭載した車に乗り、主要な政府施設、軍事基地、およびマニラの米国大使館周辺を巡回していたとされる。こうした装置は、悪意のあるリンクを拡散させるだけでなく、音声会話を直接傍受・録音するためにも使用される可能性があるとのこと。