CISA Warns of Linux “Copy Fail” 0-Day Vulnerability Exploited to Root Systems
2026/05/04 CyberSecurityNews — 米国の CISA は、Linux カーネルの深刻なゼロデイ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦機関および世界中の組織に対して、即時のパッチ適用もしくは影響を受けるシステムの使用停止を求めた。Copy Fail と呼ばれる脆弱性 CVE-2026-31431 (CVSS:7.8:High) は、CWE-699 (Incorrect Resource Transfer Between Spheres) に分類される。
この脆弱性は、Linux カーネルの AF_ALG 暗号サブシステム内の algif_aead モジュールに存在する。具体的には、認証暗号テンプレートにおけるロジック・バグにより、in-place 操作時に不適切なメモリ処理が発生する。
この脆弱性の悪用は容易であり、それが深刻さを増幅している。非特権ローカル・ユーザーであっても、732 バイトの Python スクリプトのみで、確実に root 権限への昇格が可能になる。
9 年間潜伏した欠陥
この脆弱性は、2026年4月29日に公開されたが、その起源は約 10 年前に遡る。
2011年/2015年/2017年に行われた、3 つの個別変更の組み合わせにより、この脆弱性は発生しているが、いずれの変更も単独では問題と認識されなかった。
この欠陥は、2017年以降に構築されたカーネルを使用する、主要 Linux ディストリビューションに影響する。対象として挙げられるのは、Ubuntu 24.04 LTS/Amazon Linux 2023/Red Hat Enterprise Linux 10.1/SUSE 16/Debian/Fedora/Arch Linux などである。
攻撃チェーンは、AF_ALG ソケットインターフェイス/splice() システムコール/コピー失敗時の不適切なエラーハンドリングの相互作用を悪用するものとなる。
これにより、カーネルページ・キャッシュ内で、制御された 4 バイト上書きが発生し、攻撃者は setuid バイナリやカーネル管理データの改竄が可能となる。この操作は完全にカーネル空間内で実行され、従来のユーザー空間保護を回避する。
この攻撃は、コンテナ内部で root 権限を必要とせず、カーネル・モジュールやネットワーク・アクセスも不要である。そのため Kubernetes クラスタや Docker CI ランナーなどのコンテナ環境において、強力なポスト・エクスプロイトの手段となる。
2026年5月1日の時点で、CISA は CVE-2026-31431 を KEV カタログへ追加し、2026年5月15日までに対応を完了させるよう、連邦民間機関に対して指示している。すべての連邦政府組織に対して CISA は、ベンダー提供の緩和策を即時適用し、クラウドサービスについては BOD 22-01 に従うか、未パッチ・システムの使用を停止するよう求めている。
すでにパッチは、Linux カーネル 6.18.22/6.19.12/7.0 で提供されている。Red Hat Enterprise Linux を使用する組織は、パッチ適用が完了するまでの暫定措置として、コンフィグ・レベルでの緩和策の実施が可能である。
民間組織のセキュリティチームも、クラウドワークロード/コンテナ環境/オンプレミスインフラにおける Linux カーネルバージョンを、遅滞なく監査する必要がある。すでに実環境での悪用が確認されているため、速やかな対応が求められる。
訳者後書:米国のセキュリティ機関 CISA が、Linux カーネルに潜んでいた深刻な脆弱性 Copy Fail が、連邦政府内でも実際の攻撃に悪用されているとして、緊急の警告を出しました。問題の原因は、10 年ほど前に行われた 3 つの独立したプログラム修正が組み合わさったことで、カーネルの暗号処理とメモリ管理の間に予期せぬ矛盾が生じてしまったことにあります。具体的には、暗号化の処理中にエラーが起きた際、本来は保護されるべきシステムの重要なメモリ領域 (ページキャッシュ) を、特定の条件下で書き換え可能な状態にしてしまうという不備が生じています。この隙を突かれると、一般ユーザーであっても、短いプログラムを実行するだけで、OS の全権限を持つ root に昇格できてしまいます。ご利用のチームは、ご注意ください。よろしければ、2026/04/30 の「Copy Fail という Linux Kernel ゼロデイの正体:2017年以降の全ディストロで root 昇格を許す」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.