匿名の研究者がゼロデイ数件をGitHubリポジトリで公開（CVE-2026-55200、CVE-2026-20896）

匿名の研究者がゼロデイ数件をGitHubリポジトリで公開（CVE-2026-55200、CVE-2026-20896）

The Register – Mon 29 Jun 2026

「bikini」と名乗る匿名の研究者が、15種のソフトウェア製品およびオープンソースプロジェクトにおけるゼロデイの有効なエクスプロイトコードとされるものを公開。このうち少なくとも2件の脆弱性は、攻撃者によりすでに悪用されているという。

bikiniは先日、「exploitarium」と名付けられたGitHubリポジトリでエクスプロイトコードや脆弱性情報を公開。すでにこのリポジトリは削除されているが、削除前に取得されたスクリーンショットによると、bikiniは、いずれの脆弱性についてもこれまで報告されたことがなかったと主張していたとされる。ただ、この主張の真偽は定かではない。

この行為は、マイクロソフト製品の脆弱性を相次いでリークしたChaotic Eclipse（Nightmare Eclipse）を彷彿とさせる。ただ、Chaotic Eclipseの動機はマイクロソフトへの不満にあると思われる一方で、bikiniは自身が公開した脆弱性に関連するいずれのベンダーに対しても恨みを抱いている様子はないという。

bikiniが公開したエクスプロイトとされるものは、libssh2やSplunk、RustDesk、7-Zip、VLC、AnyDesk、OpenVPN、c-ares、Gitea、Flociの製品・プロジェクトにおける脆弱性を標的としたもの。このうち以下の2件は、実際の攻撃で悪用され始めているとされる。

• CVE-2026-55200：libssh2におけるCritical評価の認証前リモートコード実行（RCE）の脆弱性。この脆弱性により、リモートの攻撃者は不正に作成した非常に大きなpacket_length値を持つSSHパケットを送信することでヒープメモリを破損させ、リモートコードを実行できる可能性があるとされる。
• CVE-2026-20896：セルフホスト型のGitea Dockerデプロイメントに影響を与えるCritical評価の認証バイパスの脆弱性。この脆弱性により、リモートの攻撃者は任意のユーザーになりすましてGitサーバーを完全に乗っ取ることができる可能性があるとされる。

Federal SignalのアナリストEthan Andrews氏を含むその他のセキュリティ研究者らは、bikiniが高度なAIモデル（具体的にはGPT-5.5 Codex）を用いてファジングと脆弱性の発見を自動化していたと指摘。これは、「Vulnpocalypse（脆弱性の黙示録）」が目前に迫っていることを示す新たな兆候の1つとも言えるという。なお、Vulnpocalypseとは脆弱性を意味する「vulnerability」と終末や黙示を意味する「apocalypse」を組み合わせた造語。Claude Mythosをはじめとする高度なAIの台頭により脆弱性がかつてないスピードと規模で発見・量産され、人間の対処能力が追いつかなくなる局面を指す。

Andrews氏は、libssh2の認証前ヒープ書き込み脆弱性とGiteaのデフォルトDocker認証バイパスは「独立した検証により高リスクであると確認され、実際に悪用されていることが確認されている」と述べたものの、exploitariumリポジトリで公開されたそれ以外の脆弱性については「コミュニティからは、影響の小さいAIファジングによるノイズとして一蹴されている」と記した。

「ノイズ」レベルのものも含まれていたとはいえ、bikiniの行動はゼロデイエクスプロイトをめぐるエコノミクスの変革を示唆する可能性があるとも指摘されている。従来、有効なエクスプロイトは数百万ドル規模の資産とみなされており、ブローカーやエスクロー、品質保証などの要素で構成されるゼロデイ市場は、「ゼロデイ脆弱性は発見が困難であることから希少かつ高額である」という前提の基に成り立っていた。しかしAIによるゼロデイ発見・エクスプロイト開発が夢物語ではなくなり、bikiniのように無償かつクレジットも放棄してゼロデイを公開する者が登場するようになったことを踏まえると、この市場は今後大きな変動を経験することになる可能性があると言えそうだ。