米CISA、過去最大級のLinuxカーネル脆弱性「Copy Fail」注意報を発令…クラウドおよび暗号資産インフラのセキュリティに激震
米サイバーセキュリティ・インフラセキュリティ庁(CISA)が、Linuxカーネルの致命的な欠陥である「Copy Fail」を悪用可能な脆弱性リストに追加した。わずか10行のPythonコードでシステム全体の権限を掌握できるこの欠陥は、クラウド環境にとって深刻な脅威となっている。
デジタル資産取引所やブロックチェーンノード運用の基幹インフラであるLinuxシステムにおいて、致命的なセキュリティ欠陥が発見され、暗号資産(仮想通貨)業界に緊張が走っている。2026年5月1日、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Linuxカーネルの「Copy Fail(CVE-2026-31431)」脆弱性を「既知の悪用された脆弱性(KEV)」カタログに追加した。これは、当該欠陥が公開されてからわずか48時間以内という異例の措置である。
セキュリティ研究者らはこの脆弱性を「驚愕すべきレベル(insane)」と評価しており、わずか10行のPythonコードだけで、一般ユーザーがシステムの最高権限であるルート(root)権限を100%の確率で取得できると警告した。2026年5月3日現在、この欠陥は主要なLinuxディストリビューション全般にわたって、即時のパッチ適用が求められている状況だ。
CISAは連邦政府機関に対し、2026年5月1日付でこの脆弱性を即座に修正するよう命じた。実際の攻撃事例が確認されたことを受け、緊急パッチのスケジュールが策定されており、これはLinuxエコシステム全体におけるセキュリティ脅威の深刻さを反映している。特に、Linuxサーバーに依存している暗号資産取引所などの金融サービスインフラに対する攻撃の可能性が指摘されている。
Copy Failは従来のローカル権限昇格の脆弱性よりもはるかに実用的で移植性が高く、事実上すべての主要なディストリビューションで動作する。これはLinuxのセキュリティ史上、最も危険な欠陥の一つとして記録されるだろう。
セキュリティ企業Xint Codeの研究チームによると、この攻撃はわずか732バイトのスクリプトで実行可能だという。確率に依存する従来の脆弱性とは異なり、Copy Failは確定的(デターミニスティック)な論理エラーを利用するため、システムをクラッシュさせることなく安定して権限を奪取できる。研究員らは、この脆弱性が「Dirty Pipe」よりも広範囲に悪用される可能性があると指摘している。
Linuxカーネル暗号化テンプレートの論理的欠陥
この脆弱性は、Linuxカーネルの「authencesn」暗号化テンプレート内のリソース転送ロジックのエラーに起因する。攻撃者は「AF_ALG」インターフェースと「splice()」システムコールを組み合わせることで、読み取り権限があるすべてのファイルのページキャッシュに4バイトのデータを強制的に書き込むことができる。これにより、攻撃者はsetuidバイナリを修正したり、システム設定ファイルを操作したりして、容易にルート権限を取得する。
- Ubuntu: 2026年4月30日にセキュリティパッチの配布を完了し、ユーザーに対して即時のアップデートを勧告した。
- AlmaLinux: 2026年5月1日にテスト用パッチを公開し、エンタープライズ環境への適用を急いでいる。
- 暫定措置: パッチ適用が不可能なシステムの場合、「algif_aead」カーネルモジュールを無効化して攻撃経路を遮断する必要がある。
- モニタリング: システム管理者は、外部プロセスによるAF_ALG SEQPACKETソケットの生成の有無を重点的に監視すべきである。
Tenableなどのセキュリティ専門家は、Copy Failを過去の「Dirty Pipe」や「Dirty Cow」と比較している。Copy Failはレースコンディション(競合状態)や複雑なカーネルオフセットの計算を必要としないという点で、以前の脆弱性よりもはるかに危険であると見なされている。特に、攻撃の成功率が100%に達するという点が、セキュリティ業界に大きな衝撃を与えている。
特にマルチテナントのクラウド環境における危険性が強調されている。Bugcrowdは、ページキャッシュがホストとコンテナ間で共有されている点を指摘し、一つのコンテナが侵害された場合、同じホストを使用する他のすべてのテナントが危険にさらされる可能性があると警告した。これは、共有インフラを使用する仮想資産サービスプロバイダーにとって致命的な脅威となり得る。
システム管理者のための今後の対応指針
2026年5月3日現在、システム管理者はCISAが設定したパッチ期限を遵守するため、インフラ全体のカーネルアップデートを急ぐ必要がある。特に外部コードの実行が可能な環境では、即時のモジュール遮断措置が推奨される。CISAは、今回の脆弱性が国家を背景に持つハッキンググループによって悪用される可能性も排除していない。
セキュリティコミュニティは、今回の事態がLinuxカーネルの複雑なサブシステム間の相互作用に起因していることから、同様の論理欠陥がさらに発見される可能性を注視している。継続的なモニタリングと迅速なパッチ適用だけが、クラウド資産と暗号資産インフラを保護できる唯一の方法である。管理者は各ディストリビューションのセキュリティ勧告をリアルタイムで確認する必要がある。
| Vulnerability | CVE ID | Reliability | Mechanism |
|---|---|---|---|
| Copy Fail | CVE-2026-31431 | 100% (Deterministic) | Page cache corruption via AF_ALG/splice |
| Dirty Pipe | CVE-2022-0847 | High | Uninitialized pipe buffer flags |
| Dirty Cow | CVE-2016-5195 | Probabilistic (Race Condition) | Copy-on-write (COW) race condition |
Copy Fail(2026年)と過去の事例の比較
本コンテンツは情報提供と論評を目的としたものであり、投資助言ではありません。
この記事について話しましょう
ほかの読者の反応を見ながら、自分の意見も残せます。