概要

セキュリティ研究者は2026年4月29日、Linuxカーネルのローカル特権昇格脆弱性「Copy Fail」(CVE-2026-31431)を公開した。CVSSスコアは7.8(High)であり、2017年以降にリリースされたほぼすべてのLinuxカーネルバージョンが影響を受ける。攻撃者は非特権ユーザーとしてコードを実行できる環境さえあれば、わずか732バイトのPythonスクリプトを用いて確実にroot権限を取得できる。セキュリティ企業Theoriが開発したこの概念実証コードは、競合状態(レースコンディション)に依存せず100%の信頼性で動作することが報告されており、同種の脆弱性である「Dirty Pipe」(CVE-2022-0847)と比較しても実用性・移植性が高いとされている。

技術的な詳細

本脆弱性はLinuxカーネルの暗号化サブシステム、特にAF_ALG(ユーザー空間向け暗号化API)のalgif_aead モジュールに存在する。2017年、開発者が暗号化処理の高速化を目的として入力・出力バッファを同一領域で再利用する「インプレース最適化」を導入した際に、認証付き暗号化テンプレートに論理エラーが生じた。

この欠陥を悪用すると、攻撃者はAF_ALGソケットインターフェースとsplice()システムコールを組み合わせることで、カーネルのページキャッシュ上にある任意の読み取り可能ファイルに対して制御された4バイトの書き込みを実行できる。特にsetuid-rootバイナリのページキャッシュを書き換えることで、権限昇格を引き起こすことが可能となる。

影響範囲とリスク

影響を受ける主なディストリビューションは以下の通り。

  • Ubuntu 24.04 LTS
  • Amazon Linux 2023
  • Red Hat Enterprise Linux(RHEL)10.1
  • SUSE 16
  • Debian、Fedora、Arch Linux

コンテナ環境やクラウド基盤においてもリスクが指摘されており、コンテナブレイクアウトやクラウドのマルチテナント環境における横断的な侵害につながる可能性がある。MicrosoftはAzure上でのLinuxワークロードへの影響を分析し、自社のセキュリティブログで警戒を呼び掛けた。また本脆弱性はCISAの「Known Exploited Vulnerabilities(KEV)カタログ」にも追加されており、限定的な実際の悪用が観測されているほか、より広範な攻撃への拡大が懸念されている。

Microsoft Defenderでは以下の検出シグネチャが対応済みとなっている。

  • Exploit:Linux/CopyFailExpDl.A
  • Exploit:Python/CopyFail.A
  • Behavior:Linux/CVE-2026-31431

パッチと対策

タイムラインは以下の通り。

  • 2026年3月23日:Linuxカーネルセキュリティチームへ報告
  • 2026年4月1日:修正パッチリリース
  • 2026年4月29日:一般公開(ディスクロージャ)
  • 修正済みアップストリームバージョン:6.18.22、6.19.12、7.0

各ディストリビューションベンダーがパッチを提供しており、即時のカーネル更新が強く推奨される。即時適用が困難な場合の暫定緩和策としては、脆弱なAF_ALGインターフェースを無効化する方法が有効であり、/etc/modprobe.d/disable-algif.conf に適切な設定を追加するか、algif_aead モジュールを削除することで攻撃面を排除できる。