• Home
  • Security
  • Linux カーネル脆弱性「Copy Fail」と「Dirty Frag」

Linux カーネル脆弱性「Copy Fail」と「Dirty Frag」

Copy Fail脆弱性イメージ

概要

2026年4月末、Linux カーネルに対する深刻なローカル権限昇格(LPE: Local Privilege Escalation)脆弱性:

  • Copy Fail(CVE-2026-31431)

が公開されました。

IPAの情報
Linuxの脆弱性対策について(CVE-2026-31431、Copy Fail)

さらにその直後、同系統の攻撃手法:

  • Dirty Frag

も登場し、Linux コミュニティやクラウド事業者に大きな衝撃を与えています。

今回特に問題視されているのは:

  • exploit が非常に簡単(ファイルを作成する必要なし。単体で攻撃成功)
  • Kubernetes / Docker に影響
  • OpenSSL にも関連
  • patch前提でも多層防御が必要

という、暗号を扱う箇所の脆弱性のため「インフラ全体」の問題になっています。

また、

  • race condition 不要
  • exploit が小さい
  • 成功率が高い
  • ディストリビューション差異が少ない(Kernelが対象のため)
  • exploit code 公開済み

という特徴があります。

※2026年5月8日時点では、Copy Failのパッチは提供されていますが、Dirty Fragのパッチは提供されていません。

Copy Fail(CVE-2026-31431)とは

Copy Fail は Linux kernel の暗号サブシステムに存在するローカル権限昇格脆弱性です。

影響範囲は非常に広く:

Linux Kernel 4.14 以降
が対象とされています。

つまり:

2017年以降のほぼ全Linux
です。

Red Hat の公開情報では:

  • RHEL 8
  • RHEL 9
  • RHEL 10

が影響対象です。(RHEL7は影響対象外)

問題の中心は AF_ALG:暗号処理用ソケット

難しいことは省略しますが、今回の問題は、AF_ALGという Kernel Crypto API を userspace から利用する socket インターフェースです。

Kernel Crypto APIは、OpenSSLやSSH、dm-crypt、Kernel TLS、IPsec/XFRMなどで利用できますが、
通常は、これらはAF_ALGを経由せずに、Kernel Crypto APIを直接利用しています。
※Configで明示的にAF_ALGを有効化している場合は除く

暫定対策

恒久対策は、パッチの適用ですが、暫定対策もご紹介します。
※Dirty Fragの暫定対策にはなりません。

現在、各ベンダ・CSIRT・研究者が推奨している暫定対策は主に2つです。

1. algif_aead モジュール無効化

最も一般的な暫定対策 です。

例:

# echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

# rmmod algif_aead
 

ただし、RHEL系やWSL2では、algif_aead が built-in の場合があり、無効化できない場合があります。

2. seccomp で AF_ALG をブロック

seccomp(Secure Computing mode)は、Linuxカーネルが提供するセキュリティ機能で、プロセスがカーネルに対して発行できるシステムコールを制限し、不正な操作や脆弱性を悪用した攻撃からシステムを守るサンドボックス技術です。

exploit開始時に AF_ALGソケットが必要な攻撃であるため、AF_ALGを禁止してしまえばいいという考え方です。
Kernel Crypto APIをAF_ALGを経由せずに直接利用するアプリが一般的なので、影響はほぼ無いと考えています。
※ 念のため、lsof や ss -za などで AF_ALGソケットを確認してください。

特に:

  • Kubernetes
  • Docker
  • CI/CD runner
  • SaaS multi-tenant
  • sandbox

では重要です。

まとめ

今回:

  • Dirty Pipe
  • Copy Fail
  • Dirty Frag

と続いたことで、
AF_ALG を 信頼できないworkload に不要なら閉じるべき という考え方が強くなっています。
つまり、patchだけではなく attack surface 自体を減らす方向です。

コンテナ運用者は実施しているかもしれませんが、
今後は「patch管理」+「attack surface削減」+「untrusted workload隔離」
が、Linux セキュリティの重要テーマになっていくかもしれません。

追記)
上記の対応方法では、Dirty Fragの暫定対応にはなりません。
(splice 由来の page cache page が skb frag に入り、 xfrm-ESP の in-place crypto がそれを書き換えるような動作のため)
(Dirty Pipeがstruct pipe_bufferを上書きするのに対し、Dirty Fragは struct sk_buff のFragを上書きします)

関連投稿

Copy Fail脆弱性イメージ
Security
Linux カーネル脆弱性「Copy Fail」と「Dirty Frag」

Linux カーネルの深刻な権限昇格脆弱性「Copy Fail(CVE-2026-31431)」と、新たに登場した「Dirty Frag」を解説。AF_ALG・OpenSSL・Docker・Kubernetesにも波及する可能性があり、page cache と zero-copy 最適化の構造問題が注目されています。algif_aead 無効化や seccomp による AF_ALG 制限など、実践的なワークアラウンドも整理します。

2026-05-08
Read More
ExchangeOnlineRecall
MS365
Outlookで誤送信しても取り消せる? Exchange Onlineの「メッセージ取り消し」がテナント間対応へ

Outlookで誤送信してしまったメールも、Microsoft 365 の Exchange Online なら取り消せる可能性があります。さらに、2026年8月からは「テナント間メッセージ取り消し」に対応予定。同一組織だけでなく、グループ会社など別テナント間でも条件付きでメール回収が可能になる見込みです。新機能の仕組みと制限事項を整理します。

2026-05-07
Read More
Remove Copilot アイキャッチ
MS365
Windows 11 の「Microsoft Copilot」アプリを“公式に”削除できるようになった

Windows 11 に組み込まれてきた Copilot について、企業が公式に「整理」できる仕組みが提供されました。新たに公開された RemoveMicrosoftCopilotApp ポリシーにより、条件付きで Copilot アプリをアンインストールすることが可能になります。Intune から配布できるため、端末標準化や AI 利用ポリシーの整備、監査対応にも有効です。ネットワーク分離環境など、Copilot を利用できない業務端末においても実務的なメリットがあります。

2026-04-27
Read More
AI
なぜ「検索ユーザー」ではなく「AI」が顧客になるのか

SEOからAIカスタマーへ。
検索順位を競う時代は終わっていないが、顧客は人だけではなくなった。Microsoft Copilot Checkoutが示すのは、AIエージェントが商品・サービスを評価し、選択し、購入まで実行する新しい購買モデルである。これからのインバウンドセールスでは、クリックや問い合わせ以前に「AIに正しく理解・信頼されるか」が成否を分ける。構造化データ、正確な商品情報、説明の一貫性が、SEOと営業の共通基盤になる時代が到来している。

2026-04-24
Read More
Security
Adobe Reader を標的とする非常に高度なゼロデイPDF攻撃

EXPMONは、最新版Adobe Readerでも有効なゼロデイPDF攻撃を検出・分析しました。本攻撃はPDF内のJavaScriptを悪用し、端末情報の窃取や高度なフィンガープリンティングを実行します。Adobe ReaderのJavaScriptを無効化することで攻撃を大幅に抑止できますが、業務PDFとの両立や多層防御の重要性も示されています。PDFセキュリティを考える上で必読の事例です。

2026-04-10
Read More
いろいろなAIで混乱
AI
「自分が使っているCopilotはどれで、何ができるのか」を整理してみた

Copilotとは、Microsoftが展開している「AIアシスタント群の総称(ブランド名)」です。
つまり、目的や利用場所の違いで、様々なAIサービスが存在します。
それら複数のサービスに、すべて 「Copilot」 という名前が付いているのが、混乱の原因です。
この記事では、「Copilotが分かりにくい理由」と「自分が使っているCopilotの見分け方」を、できるだけ分かりやすく整理します。

2026-03-30
Read More
Zoom-phishing
Security
AI生成コンテンツを悪用した新手のZoomフィッシング

近年、生成AIの進化により、フィッシング攻撃の手口はますます巧妙化しています。
今回確認されているのは、AIで生成されたとみられるZoomミーティング招待を起点とし、
被害者を偽のZoomページ、さらには偽のMicrosoft Store経由でマルウェアをダウンロードさせるという、新しい攻撃フローです。

2026-03-24
Read More
詐欺の増加
Security
【2026年版】インターポールのレポート:金融詐欺の脅威は“日常化”へ

近年、金融詐欺は「特殊な犯罪」ではなく、誰にでも起こり得る“日常の脅威”になりました。特に2024〜2026年にかけて、生成AIやディープフェイクなどの技術が犯罪側に急速に取り込まれ、詐欺はより巧妙に、より大量に、より組織的に進化しています。
本記事では、最新の脅威評価の観点からポイントをまとめます。

2026-03-17
Read More
ローカルZIP+ローカルPDF
オンプレミス
自治体のPCでフリーソフトを使わないために

自治体や企業では、パスワード付きZIP作成やPDF結合のためにフリーソフトを利用するケースが多くあります。しかし偽装インストーラやマルウェアのリスク、ソフト管理の負担も課題です。本記事では、インストール不要でブラウザだけで安全に実行できる方法を紹介します。

2026-03-16
Read More
PDFからExcel生成
MS365
新しいCopilotで「PDF→Excel変換」がついに実用レベルへ

2026年3月、Microsoft 365 Copilot に新しいアップデートが入りました。
文章生成や要約だけでなく、「業務そのものを変える」方向へと、着実に進化している印象です。
その中でも特に実務でインパクトが大きいと感じたのが、
PDFファイルをExcelに変換する機能が“実用レベル”に到達した点です。

2026-03-13
Read More
ClickFixイメージ
MS365
「脆弱性の悪用」ではなく、ユーザー自身に操作させる社会工学攻撃「ClickFix」へのMS365での対策案

2026年3月、Microsoft Threat Intelligence は、ClickFix と呼ばれる社会工学攻撃キャンペーンが進化し、Windows Terminal(wt.exe)を悪用してマルウェアを実行させる手口を確認したと公表しました。
本記事では、Microsoft 365(Intune + WDAC)を用いて ClickFix にどう対抗すべきかを、実運用を前提に整理します。

2026-03-09
Read More
セキュリティイメージ
MS365
ISMS対応を Microsoft 365 E5 で効率化しよう

ISMS(ISO/IEC 27001)の運用では、
「決めていること」よりも 「実際にできていることを、どう証明するか」 が重要になります。
Microsoft 365 E5 は、ISMSで求められる管理策を
日常業務の延長で実行し、そのまま監査証跡として提示できる 点が大きな特長です。
本記事では、ISMS対応を効率化する 5つのポイント を紹介します。

2026-03-05
Read More

お問い合わせ