Linux起動ツールDracutに脆弱性、同じ回線につながれた偽の機器から乗っ取りの恐れ CVE-2026-6893、ネットワーク起動環境は要対策
多くのLinuxの起動の入口を担うツールDracutに脆弱性(CVE-2026-6893、CVSS 8.8)。同じネットワーク上の偽サーバーから、端末が起動した瞬間に管理者権限で乗っ取られる恐れ。守りが立ち上がる前の起動最初期が狙われる。対象はネットワーク起動(PXE等)の環境で、各ディストリの更新適用とネットワーク隔離を。
堀川 慎
Backend Engineer / AWS / Django / Go
多くのLinuxの起動の入口を担うツールDracutに脆弱性(CVE-2026-6893、CVSS 8.8)。同じネットワーク上の偽サーバーから、端末が起動した瞬間に管理者権限で乗っ取られる恐れ。守りが立ち上がる前の起動最初期が狙われる。対象はネットワーク起動(PXE等)の環境で、各ディストリの更新適用とネットワーク隔離を。
同じネットワークにつながれた偽の機器から、パソコンやサーバーが電源を入れた瞬間に乗っ取られる──そんな脆弱性が、多くのLinuxの「起動の入口」を担うツール Dracut(ドラカット) に見つかりました。番号は CVE-2026-6893、深刻度は CVSS 8.8(High) です。
Dracutは、Linuxが本体のOSを立ち上げる前に動く、ごく小さな起動用の環境(initramfs、初期RAMディスク)を作るためのツールです。Fedora、RHEL(Red Hat Enterprise Linux)やそのクローンであるRocky Linux・AlmaLinux、SUSEなど、企業の現場でよく使われるLinuxの多くが標準で採用しています。開発元はRed Hatで、今回のCVEもRed Hatが採番・公開したものです。
問題は、起動の最初期にネットワークから設定を受け取る仕組みにあります。同じ回線上にいる攻撃者が、IPアドレスを配る役のサーバー(DHCPサーバー)になりすまして細工した応答を返すと、その内容が起動処理のスクリプトに無検査で書き込まれ、任意のコマンドが実行されます(OSコマンドインジェクション、CWE-78)。initramfsは最高権限(root、管理者権限)で動くため、セキュリティソフトが立ち上がるより前の段階で、機器が丸ごと奪われます。対象になるのは「ネットワーク経由で起動する」構成のLinuxです。Red Hatのセキュリティ情報 を確認し、各ディストリビューションの更新が出しだい適用してください。
Dracutとは何か、なぜ起動の入口を握られると危ないのか
パソコンやサーバーの電源を入れてから、いつものデスクトップやサービスが立ち上がるまでの間には、目に見えない準備段階があります。Linuxの場合、まず「initramfs」という小さな仮の起動環境がメモリ上で動き、本体の保存先(ディスクやネットワーク上のストレージ)を見つけて接続し、そこへOSの本体を引き継ぎます。Dracutは、このinitramfsを組み立てるためのツールです。Fedoraの公式ドキュメント でも、起動の中核部品として説明されています。
ここで効いてくるのが、「起動の最初期は、すべてが最高権限(root)で動く無防備な時間帯だ」という点です。この段階ではまだ、ログイン認証もファイアウォールも侵入検知も立ち上がっていません。普段は何重もの守りで囲まれているシステムが、起動の数秒間だけは丸裸になります。その無防備な時間帯に外から命令を差し込めるとなれば、攻撃者にとっては理想的な侵入口です。
ただし、今回の脆弱性が誰にでも効くわけではありません。狙われるのは、起動時にネットワークから設定を受け取る構成のLinuxだけでDracutの「レガシーなDHCP処理」が動く場面に限られます。具体的には、ネットワーク越しに起動するPXEブートやディスクレス端末、本体の保存先がネットワーク上にあるiSCSI/NFSルート、カーネルの起動オプションに ip=dhcp を指定した環境などです。手元のディスクから普通に起動するノートPCやサーバーは、この処理自体が動かないため対象外です。
あなたは対象か、ディストリと使い方で見分ける
「Linuxに脆弱性」と言っても、すべてのLinuxが一律で危ないわけではありません。Dracutを標準で使っているか、そしてネットワーク起動をしているかの2点で切り分けます。
| ディストリビューション | Dracut標準採用 | このCVEの対象 |
|---|---|---|
| Fedora / RHEL / Rocky / AlmaLinux | ○ | ネットワーク起動時に該当 |
| openSUSE / SLES | ○ | ネットワーク起動時に該当 |
| Arch Linux / Gentoo | 選択可 (採用例多い) | Dracut利用かつ ネットワーク起動時 |
| Ubuntu / Debian | ✕ (別ツールが標準) | Dracutを別途 導入時のみ |
Ubuntu・Debianは標準では別の仕組み(initramfs-tools)を使うため、Dracutを自分で入れていなければ直接の対象ではありません。一方、データセンターやクラウドのベアメタル環境で、多数のサーバーをネットワーク起動で一括展開しているような現場は、まさに直撃します。社内のシンクライアントやディスクレス端末、キオスク端末をPXEで起動している環境も同様です。自社にこうした構成があるかを、まず棚卸ししてください。
電源を入れた数秒間に、同じ回線の何者かが忍び込む
この脆弱性を踏む現場を、攻撃者の側から描いてみます。条件は「攻撃者が標的と同じネットワークにいること」。狙うのは遠い国の誰かではなく、社内LANに侵入して居座った攻撃者、データセンターで同じ区画に相乗りする別テナント、PXE起動の社内端末を狙う内部の不満分子、共有Wi-Fiや構内ネットワークに偽の機器を置ける立場の人間です。やることは、本物より早く応答する「偽のDHCPサーバー」を立てるだけ。欲しいのは、起動したばかりの端末の管理者権限、そこから読み出せる認証鍵や業務データ、そして同じ手口で次々と落とせる隣の端末です。
仕組みはこうです。ネットワーク起動する端末は、電源投入直後に「IPアドレスをください」と呼びかけます。偽のDHCPサーバーが先んじて応答し、ホスト名などを伝える項目(DHCPオプション)に引用符やセミコロンを混ぜた文字列を仕込むと、Dracutのレガシーな処理はそれをそのまま一時的なシェルスクリプトに書き込みます。仕込まれた文字列が「設定値」ではなく「実行する命令」として解釈され、攻撃者のコマンドが起動処理の中で走り出します。
厄介なのは、これが起動の最初期という、ログにもアラートにも残りにくい時間帯で完結する点です。OSが立ち上がってからの監視では、もう手遅れになりかねません。
CVSS 8.8という数字は、技術的な深刻度の高さを示すラベルにすぎません。ベアメタルやディスクレスの基盤を運用するチームにとって本当に怖いのは、守りが立ち上がる前の無防備な一瞬を突かれ、端末が「最初から攻撃者のもの」として起動してしまうことです。土台そのものを差し替えられれば、その上にどんな対策を積んでも素通りされます。
CVE-2026-6893を技術的に見る、どこで何が起きるのか
CVE-2026-6893 は、DracutのレガシーなDHCP処理が、受け取ったDHCPオプション(細工された悪意あるホスト名など)を正しくエスケープせずに一時的なシェルスクリプトへ書き込むことで成立する、OSコマンドインジェクション(CWE-78)です。CVSSのベクトルは AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H で、攻撃元区分が「隣接ネットワーク(AV:A)」である点が肝になります。インターネットの向こうから直接踏めるわけではなく、攻撃者は標的と同じネットワークセグメント(同じLAN/ブロードキャストドメイン)に立つ必要があります。
裏を返せば、認証は不要(PR:N)で利用者の操作もいらず(UI:N)、機密性・完全性・可用性のすべてに深刻な影響(C:H/I:H/A:H)が及びます。同じネットワークにさえ入れれば、ログイン情報を一切持たない相手が、起動するだけの端末を管理者権限で乗っ取れるということです。Red Hatは セキュリティ情報 と Bugzilla(バグ追跡システム) で本件を公開しており、記事公開時点では各ディストリビューション向けの修正版が順次準備されている段階です。
2026年は「悪意あるDHCP」の当たり年になっている
今回のCVE-2026-6893は、単発の珍しい事故ではありません。2026年に入ってから、「偽のDHCPサーバーが細工した応答を返し、受け取った側がそれを命令として実行してしまう」という同じ型の脆弱性が、別々の製品で相次いで見つかっています。IPアドレスを配るというありふれた仕組みの裏で、応答に含まれる文字列の扱いが甘かった、という共通の弱点です。
| CVE | 対象 | 起きること |
|---|---|---|
| CVE-2026-6893 | Dracut (Linux起動) | 起動時に コマンド実行 |
| CVE-2026-42511 | FreeBSD dhclient | root権限で コマンド実行 |
| CVE-2026-7067 | D-Link ルーター | DHCPサービスへ コマンド注入 |
たとえば FreeBSDのDHCPクライアント(dhclient)に見つかったCVE-2026-42511 は、21年前から潜んでいた問題で、偽のDHCPサーバーが応答内の項目に引用符を混ぜるだけでroot権限のコマンド実行が成立しました。ルーターやIoT機器の土台で使われるDHCP/DNSソフトの脆弱性 も今年報じられています。普段は意識しない「IPアドレスを配る通信」が、攻撃の入口として再評価されているのが2026年の流れです。同じネットワークに信頼できない機器が混じる環境では、DHCPの応答を無条件に信じる前提そのものを見直す時期に来ています。
影響と対策 早見表
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-6893(CVSS 8.8 High) |
| 攻撃元 | 隣接ネットワーク(同じ回線上) 認証・操作とも不要 |
| 条件 | Dracut利用かつ ネットワーク起動(PXE/iSCSI/ip=dhcp等) |
| 影響 | 起動時にroot権限で 任意コマンド実行(乗っ取り) |
| 修正 | 各ディストリの更新を 出しだい適用(準備中) |
記事公開時点で、本CVEは CISA KEV(実際に攻撃が確認された脆弱性カタログ) には登録されておらず、実際の悪用報告も確認されていません。とはいえ、起動や認証の土台に関わる脆弱性は、悪用が確認されてからでは対処が後手に回りがち です。攻撃の条件(同じネットワークにいること)を満たしやすい共有環境ほど、早めの手当てが要ります。
管理者がいま取るべき動き
優先順に整理します。ネットワーク起動を使っている組織が対象です。
1. ディストリの更新を出しだい適用。本筋の対応はDracutの修正です。Fedora・RHEL・Rocky・AlmaLinux・SUSEなどは、各社のセキュリティ更新でDracutの修正版が順次提供されます。Red HatのCVEページ で自社のバージョンの対応状況を確認してください。
2. ネットワーク起動の経路を信頼できる区画に隔離。攻撃は「同じネットワークの偽DHCPサーバー」が前提です。PXE起動やネットワークルートを使う端末は、外部や来訪者の機器が混じらない管理用の閉じたネットワークに分離し、許可していないDHCPサーバーを検知・遮断する仕組み(DHCPスヌーピング等)をスイッチ側で有効にしてください。
3. 不要なネットワーク起動を無効化。運用上ネットワーク起動が不要な端末は、カーネル起動オプションから ip=dhcp 等を外し、ローカルディスク起動に切り替えることで、そもそも脆弱な処理が動かない状態にできます。
4. ベアメタル展開の手順を点検。データセンターやクラウドで大量のサーバーをネットワーク起動で展開している場合、その展開ネットワークが信頼できる範囲に閉じているかを確認しましょう。DHCPまわりの設定は普段見落とされがち で、放置された展開用セグメントは恰好の的になります。
タイムライン
| 日付 | 出来事 |
|---|---|
| 2026年初頭〜 | 偽DHCPによるコマンド注入が各製品で相次いで報告(FreeBSD dhclientほか) |
| 2026年6月11日 | NVDにDracutのCVE-2026-6893(CVSS 8.8)が登録、Red Hatが公開 |
まとめ、守りが立ち上がる前の数秒間が狙われた
今回のCVE-2026-6893で浮き彫りになったのは、セキュリティ対策が立ち上がるより前の「起動の最初期」という無防備な時間帯が、現実の攻撃面になっているという構図です。Dracutが組み立てる起動環境は最高権限で動くため、そこに外から命令を1つ差し込めれば、その上に積んだ守りはすべて素通りされます。しかも攻撃の条件は「同じネットワークにいること」だけで、ベアメタルやディスクレスの大規模展開を行う現場ほど、その条件は満たされやすくなります。
やるべきことは明快です。各ディストリの更新を出しだい当てること、ネットワーク起動の経路を信頼できる区画に隔離すること、不要なネットワーク起動はそもそも無効化すること。偽のDHCPによるコマンド注入が2026年に相次いでいる事実は、「IPアドレスを配るだけの通信」を無条件に信じる前提が、もう通用しなくなっていることを示しています。実際の悪用が出る前に、足元のネットワークから固めておくのが安全です。