トップ/記事一覧/Ubuntuに標準で入る管理ツールに重大な脆弱性、偽のサーバー経由で不正なソフトを仕込まれる恐れ CVE-2026-11386、修正版へ更新を
ubuntu-pro-client-cve-cover-ja

Ubuntuに標準で入る管理ツールに重大な脆弱性、偽のサーバー経由で不正なソフトを仕込まれる恐れ CVE-2026-11386、修正版へ更新を

世界中のサーバーで使われるUbuntuに標準搭載の管理ツール「ubuntu-pro-client」に、危険度9.0の重大な脆弱性CVE-2026-11386が見つかりました。契約サーバーの応答検証が甘く、なりすましたサーバー経由でソフトの入手元を書き換えられ、不正なパッケージを仕込まれる恐れがあります。対象は全LTS。通常のセキュリティ更新で修正版が適用できます。

ニュース2026年7月16日公開 本日更新
目次
この記事のポイント

世界中のサーバーで使われるUbuntuに標準搭載の管理ツール「ubuntu-pro-client」に、危険度9.0の重大な脆弱性CVE-2026-11386が見つかりました。契約サーバーの応答検証が甘く、なりすましたサーバー経由でソフトの入手元を書き換えられ、不正なパッケージを仕込まれる恐れがあります。対象は全LTS。通常のセキュリティ更新で修正版が適用できます。

世界中のサーバーや開発用パソコンで広く使われているLinux(OSの一種)の「Ubuntu」に標準で入っている管理ツールに、重大な脆弱性(CVE-2026-11386)が見つかりました。開発元のCanonicalによる危険度評価は、10段階中9.0の「緊急(Critical)」です。

問題があるのは、Ubuntuの有償サポート「Ubuntu Pro」の契約状態を管理する「ubuntu-pro-client」というツールです。Ubuntuに最初から組み込まれており、多くの利用者が存在を意識せずに使っています。このツールが、外部のサーバーから受け取ったデータの扱いを誤ると、攻撃者に不正なソフトを仕込まれる恐れがあります。

対象はサポート中の主要なUbuntu(20.04/22.04/24.04/26.04 LTS)と幅広く、標準搭載ゆえに「自分のサーバーにも入っている」ケースが多いのが特徴です。今実際に攻撃された報告はありませんが、対策は通常のセキュリティ更新で適用できるため、早めの更新をおすすめします。何が起きるのか、どういう条件で危険なのか、どう直すのかを順に説明します。仕組みの背景には、ソフトの入手元をたどるOSSサプライチェーンの考え方が関わってきます。

何が起きるのか

ひとことで言うと、「Ubuntuがソフトを取り寄せる先の一覧(入手元リスト)」を、外部サーバーからのデータをもとに組み立てる処理に穴があり、そのデータに細工を混ぜ込まれると、リストに不正な行を書き加えられてしまう、という問題です。

項目内容
CVE番号CVE-2026-11386
対象ubuntu-pro-client
(Ubuntu標準搭載の管理ツール)
危険度CVSS 9.0(緊急)
脆弱性の種類入力検証の不備
(入手元リストへの不正行注入)
悪用の前提契約サーバーの応答を
攻撃者が制御・改ざんできること
実際の攻撃現時点で報告なし
対策ubuntu-pro-clientを
修正版へ更新

ここで言う「入手元リスト」とは、Ubuntuがソフトの追加・更新をするときに参照するAPT(Ubuntuの標準的なソフト管理の仕組み)の設定ファイルのことです。このファイルに書かれた場所から、Ubuntuはソフトの部品(パッケージ)を取り寄せます。もしここに攻撃者の用意した入手元が紛れ込むと、次の更新のときに不正なソフトを正規のソフトのように受け取ってしまう恐れがあります。

誰が、何のために狙うのか

この脆弱性を突けるのは、Ubuntu Proの「契約サーバー」からの応答を、なりすましや通信の横取りによって書き換えられる立場の攻撃者です。ubuntu-pro-clientは、契約状態を確認するためにCanonicalの契約サーバーと通信します。その応答を攻撃者がすり替えられる状況が前提になるため、誰でも無条件に悪用できるわけではありません。ただし、悪用にログインは不要で、利用者側の操作もいりません。

その攻撃者が行うのは、応答に細工を混ぜて入手元リストに不正な行を書き加え、Ubuntuが取り寄せるソフトの参照先を自分のサーバーへ向けさせることです。参照先を乗っ取れれば、次回の更新時に不正なパッケージを送り込み、システム上で好きなプログラムを動かす足がかりにできます。OSの根幹であるソフト管理の入口を狙う手口です。

被害はサーバー管理者だけの問題では終わりません。サーバーが乗っ取られれば、そこで動くサービスを利用する一般の人の情報や、社内の他のシステムにも危険が及びます。過去にも、Ubuntuの周辺ツールで通信を乗っ取られる欠陥が報じられており、土台に近い部分の脆弱性は影響範囲が広くなりがちです。

技術的に見ると

Canonicalの説明によると、ubuntu-pro-clientは契約サーバーの応答に含まれるdirectives.suites[]directives.aptURLといった値を、そのままAPTの設定ファイルの組み立てに使っていました。ここで、値に含まれる改行文字がきちんと取り除かれていなかったのが原因です。

設定ファイルは1行ごとに意味を持つため、値の途中に改行を差し込めれば、そこから先を「別の設定行」として認識させられます。これを悪用すると、本来の1項目のはずが、攻撃者の狙った任意のAPT設定行に化けます。いわゆる改行を使った注入(インジェクション)で、分類上は入力検証の不備(CWE-20)にあたります。

危険度ベクトルを見ると、ネットワーク経由・認証不要・利用者操作不要で悪用でき、影響も機密性・完全性・可用性のすべてに及ぶ一方、攻撃の難度(AC)は「高」とされています。これは、契約サーバーの応答を制御・改ざんするという前提が必要なためです。裏を返せば、その前提さえ満たされれば深刻な結果に直結する、という評価です。

影響を受けるバージョンと修正版

サポート中の主要なUbuntu LTS(長期サポート版)が対象です。自分のUbuntuのバージョンに対応する行を見て、右端の修正版以降になっているかを確認してください。修正版はUbuntuのセキュリティ更新として配布されています。

Ubuntu 版影響を受ける版修正版
26.04 LTS37.2 以前37.2ubuntu0.1 以降
24.04 LTS37.2 以前37.2ubuntu~24.04.1 以降
22.04 LTS37.2 以前37.2ubuntu~22.04.1 以降
20.04 LTS37.1 以前37.1ubuntu0~20.04.1 以降

ubuntu-pro-clientはUbuntuに標準で含まれるため、Ubuntu Proを契約していなくてもツール自体は入っています。「Proを使っていないから関係ない」とは言い切れない点に注意してください。

いま何をすればいいのか

やることは、通常のセキュリティ更新を当てるだけです。Ubuntuで日常的に行う更新の操作(ソフトウェアの更新、またはターミナルでの更新コマンド)を実行すれば、修正版のubuntu-pro-clientが適用されます。自動更新を有効にしているサーバーでは、すでに適用されているか、近いうちに適用されます。

確認したい場合は、インストールされているubuntu-pro-clientのバージョンが上の早見表の修正版以降になっているかを見てください。多数のサーバーを運用している場合は、構成管理の仕組みで一括更新するのが確実です。すぐに更新できない事情がある場合でも、この脆弱性は「更新して直す」以外の特別な回避策は用意されていないため、更新の優先度を上げて対応するのが基本方針になります。

あわせて、日ごろの備えとして押さえておきたいのが「ソフトをどこから取り寄せているか」を把握しておくことです。今回のように、入手元リストが書き換えられる攻撃は、正規のソフトになりすまして不正なものを取り込ませる典型例です。Ubuntuまわりの脆弱性はほかにも継続的に出ており、たとえばUbuntuの入力表示に関する仕様の話題のように、身近な部分でも見直しの機会は多くあります。更新を習慣化しておくことが、こうした脆弱性への一番の近道です。

まとめ

CVE-2026-11386は、Ubuntuに標準で入るubuntu-pro-clientが、契約サーバーの応答を十分に検証せずソフトの入手元リストを組み立てていたことを突く脆弱性です。危険度はCVSS 9.0と高い一方、悪用には「契約サーバーの応答を攻撃者が制御・改ざんできる」という前提が必要で、攻撃の難度は高めと評価されています。とはいえ、標準搭載で対象が広く、成立すればシステム乗っ取りに直結し得るため、軽視はできません。

対策はシンプルで、通常のセキュリティ更新を当てて修正版のubuntu-pro-clientにするだけです。自動更新を有効にしていない環境や、更新を止めているサーバーは優先して対応してください。実際の攻撃はまだ確認されていませんが、OSのソフト管理という根幹に関わる欠陥だけに、先送りせず更新するのが賢明です。新しい情報や攻撃が確認され次第、この記事に追記します。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go