runCコンテナエスケープ脆弱性の教訓 ── CVE-2025三連発が示すコンテナ分離の限界

2025年11月5日、SUSEの研究者がrunCに影響する3つの重大な脆弱性を公開した。CVE-2025-31133、CVE-2025-52565、CVE-2025-52881の三連発は、Docker、Kubernetes、その他のコンテナプラットフォームのセキュリティ基盤を揺るがした。本稿では、これらの脆弱性の技術的詳細と、コンテナ分離の限界について解説する。

runCとコンテナセキュリティの基盤

runCは、Open Container Initiative（OCI）仕様に準拠したコンテナランタイムであり、Docker、containerd、CRI-O、そしてKubernetesのコンテナ実行基盤として広く使用されている。コンテナの作成、起動、停止といった低レベルの操作を担い、Linux namespaces、cgroups、seccompといったカーネル機能を組み合わせてコンテナ分離を実現している。

runCが侵害されるということは、コンテナエコシステム全体のセキュリティモデルが崩壊することを意味する。今回の脆弱性は、ほぼすべてのrunCバージョンに影響し、レースコンディションとマウント操作を組み合わせることで、コア分離制御を無効化できることが判明した。

CVE-2025-31133: マスクパスの悪用

runCは、機密性の高いホストファイルを「マスク」するために/dev/nullをバインドマウントする仕組みに依存している。CVE-2025-31133は、コンテナ初期化プロセス中に/dev/nullをシンボリックリンクに置き換えることで、この保護を回避する脆弱性である。

攻撃者は、コンテナ作成時に/dev/nullをシンボリックリンクに置き換えることで、runCを騙して任意のホストパスをコンテナ内にマウントさせることができる。これにより、/proc/sys/kernel/core_patternなどの重要なファイルへの書き込みが可能となり、コンテナエスケープを実現できる。

CVE-2025-52565: /dev/consoleマウントの悪用

CVE-2025-52565は、/dev/consoleバインドマウントがレースコンディションとシンボリックリンクを通じて悪用できる脆弱性である。セキュリティ保護が完全に適用される前に、runCが予期しないターゲットをコンテナ内にマウントしてしまう。

この脆弱性を悪用することで、重要なprocfsエントリへの書き込みアクセスを取得し、コンテナブレイクアウトにつながる可能性がある。/dev/consoleは通常のコンテナ操作に必要なため、単純に無効化することができない点が対策を困難にしている。

CVE-2025-52881: procfs書き込みリダイレクト

CVE-2025-52881は、/procへの書き込みを攻撃者が制御する任意の場所にリダイレクトできる脆弱性である。/proc/sysrq-triggerなどの機密ファイルへの任意書き込みを実現し、特定の構成においてLSM（Linux Security Modules）のリラベル保護をバイパスできる。

procfsはLinuxカーネルとユーザー空間のインターフェースであり、システムの動作を制御する多くのパラメータを公開している。この脆弱性により、コンテナ内からホストカーネルの動作を変更できる可能性がある。

攻撃要件と防御策

これらの脆弱性を悪用するには、カスタムマウント構成でコンテナを起動する能力が必要である。最も可能性の高い攻撃経路は、信頼されていないコンテナイメージやDockerfileを通じたエクスプロイトの配信である。

組織はrunCをバージョン1.2.8、1.3.3、または1.4.0-rc.3以降に即座にアップグレードする必要がある。runC開発者は、ホストのrootユーザーをコンテナの名前空間にマッピングしないユーザー名前空間の有効化を推奨している。これにより、Unix DAC権限によって攻撃がブロックされる。

長期的には、コンテナ分離に対する多層防御アプローチが不可欠である。gVisorやKata Containersのようなサンドボックス型ランタイム、AppArmorやSELinuxによる強制アクセス制御、seccompプロファイルによるシステムコール制限を組み合わせることで、単一の脆弱性がホスト侵害につながるリスクを低減できる。

FAQ

runCの脆弱性はKubernetesにも影響しますか？

Kubernetesはcontainerdまたはcri-oを通じてrunCを使用しているため、影響を受ける。クラスタ内のすべてのノードでrunCをアップグレードする必要がある。

コンテナイメージをスキャンすれば防げますか？

これらの脆弱性は実行時のレースコンディションを悪用するため、静的なイメージスキャンだけでは検出が困難である。ランタイムセキュリティ監視と組み合わせる必要がある。

ユーザー名前空間を有効にするとパフォーマンスに影響がありますか？

一般的にオーバーヘッドは最小限であるが、UIDマッピングによるファイルシステム操作で若干の影響がある場合がある。セキュリティとのトレードオフを評価する必要がある。

AWS、GCP、Azureのマネージドサービスは影響を受けますか？

各クラウドプロバイダーはセキュリティパッチを適用中または適用済みである。AWSは2025年11月に緊急セキュリティ速報（AWS-2025-024）を発行し、影響を受けるサービスと対応状況を公開している。

参考文献

• New runc vulnerabilities allow container escape: CVE-2025-31133, CVE-2025-52565, CVE-2025-52881 — Sysdig, 2025年11月
• runc container breakout vulnerabilities: A technical overview — CNCF, 2025年11月28日
• Container escape via masked path abuse due to mount race conditions — GitHub Advisory, 2025年
• CVE-2025-31133, CVE-2025-52565, CVE-2025-52881 - runc container issues — AWS Security Bulletin, 2025年
• Three High-Severity runc Vulnerabilities Disclosed — ARMO, 2025年