本論文では，Linux カーネル 5.11 以降に対するエクスプロイト可能性について検討する．Linux カーネル 3.0 以降，Supervisor Mode Execution Prevention と Supervisor Mode Access Prevention をサポートすることにより，カーネルコードが不正にユーザモードのメモリ空間へアクセスすることを防ぐ機構を備えている．さらに，Linux カーネル 5.11 以降，ユーザモードにおけるページフォルトハンドラ機能が特権化され，より高度な関数単位の Kernel Address Space Layout Randomization の開発も進んでおり，着実にエクスプロイトは難しくなっている．本論文では，特権を一切必要とせず，Linux カーネル本体の機能のみを用いて，解放後使用や範囲外アクセスから特権昇格を可能にする手法を提案する．具体的には，kmalloc-64 から -4k いずれかにおいて，その先頭 40 バイトを任意に書き込み可能である状況を仮定し，kfree がアドレスの整列条件を検査しないことを利用する．最後に，より安全なサイバー空間を実現すべく，エクスプロイト開発を不可能にする要素には何が必要か，問題提起を行いたい．

We discuss exploitability on Linux kernel from 5.11 onwards. Since 3.0, Supervisor Mode Execution Prevention and Supervisor Mode Access Prevention has been enabled to prevent invalid memory accesses to user-land space. In addition, registering user-mode page fault handlers requires root privilege from 5.11, and Function-Granular Kernel Address Space Layout Randomization is under development for making exploitation much harder. In this paper, we show a new approach to privilege escalation that exploits a use after free or out-of-bound access vulnerability, by using only the Linux kernel, without any privilege. We assume a situation where the attacker has an arbitrary write access to the first 40 bytes of a chunk in any of kmalloc-64 to -4k, and take advantage of the fact that kfree does not validate the given address. Finally, we discuss related issues to encourage other researchers to work on them and make cyberspace a safer place.