7年間。それだけの長きにわたり、Linuxカーネルに潜んでいた重大な脆弱性が、ローカルユーザーにroot権限を奪取させる時限爆弾となっていた。公式にはCVE-2026-31431として知られる「コピー・フェイル」というこの欠陥について、研究者たちは今、2017年以降にリリースされたほぼ全ての主要Linuxディストリビューションを危険に晒しうると警告を発している。
しかも、この脆弱性を悪用する公開エクスプロイトが既に存在し、報告によれば確実な動作をするという。これは単なる理論上の脅威ではなく、明白かつ現在の危険だ。その影響範囲の広さを考えれば、頭を抱えたくなるような種類の脆弱性と言わざるを得ない。
10年間続く論理爆弾
では、「コピー・フェイル」とは具体的に何なのか?
これは、Linuxカーネルの暗号化サブシステム深くに潜む、ローカル権限昇格の脆弱性である。少し考えてみてほしい。我々がしばしば目にするバッファオーバーフローや暴走するメモリ書き込みとは違うのだ。これは論理的なバグ、カーネルがメモリキャッシュ内でファイルデータをどのように処理するかの微妙な誤りなのだ。
要点はこうだ:ローカルユーザーは、メモリ上のファイルのキャッシュされたコピーを操作できる。肝心なのは? この変更は、カーネルのページキャッシュにのみ存在する。ディスク上の実際のファイルは変更されない。つまり、標準的なディスクフォレンジックツールはこれを検出できない。再起動やシステムメモリの逼迫によって、汚染されたキャッシュは消去され、クリーンなファイルが再ロードされる。まるで、誰も見ていない時にだけ現実を改変する、機械の中の幽霊のようだ。
Linuxカーネルのメモリ破損バグに皆が注目するが、論理バグを見過ごすべきではない。
研究者5unkn0wn氏のこの言葉は、最も陰湿な脅威が必ずしも最も騒がしい、あるいはコード実行の生々しさという点で最も複雑なものではないことを痛烈に思い出させる。時には、状態の単純な誤解こそが、最も危険なのだ。
ダーティな一族との再会
理解できることだが、既に比較が始まっている。「コピー・フェイル」は、Dirty Cow (CVE-2016-5195) や Dirty Pipe (CVE-2022-0847) といった巨人たちと比較されている。それらの脆弱性はいずれも大きな見出しを飾り、CISAの「既知の悪用脆弱性カタログ」に掲載され、カーネルの整合性に対する信頼を根本から揺るがした。
しかし、ここで「コピー・フェイル」が独自性を発揮しているようだ。Dirty Cowの悪用には複数の試行を要するトリッキーな競合状態があったり、Dirty Pipeにはファイル内のどの部分をデータ変更できるかという特定の制限があったりしたのとは異なり、「コピー・フェイル」は報告によれば、ただ機能するらしい。特別なタイミングも、面倒な制約もない。ただ実行すれば、rootになれるのだ。
本当に脆弱なのは誰か?
カーネルバージョン4.14以降のLinuxシステムを実行しているなら、おそらく影響範囲内だろう。そのカーネルバージョンは2017年に遡る。そうだ、その数字を正しく読んだ。7年分のコードが、この欠陥を静かに抱え込んでいたのだ。オリジナルの研究チームであるTenableのRSOは、この欠陥がTheoriのAI支援セキュリティスキャナー「Xint Code」によって発見されたことを指摘しており、脆弱性発見の進化する様相を浮き彫りにしている。
リスクは共有環境では劇的に増大する。マルチテナントクラウドシステム、コンテナクラスタ、信頼できないコードを実行するCI/CDパイプラインを考えてほしい。このエクスプロイトはカーネルの共有ファイルキャッシュを標的とするため、コンテナ境界を飛び越えることさえ可能だ。単一ユーザーのワークステーションでは、リスクは低い——どちらにせよ、開始するにはローカルアクセスが必要だからだ。しかし、共有コンピューティングや信頼できないユーザー入力がある環境では、これは五面警戒レベルの火災だ。
パッチ適用:気まずい現実
本稿執筆時点でのパッチ適用状況は、控えめに言っても、まちまちだ。Arch Linuxは既にパッチを適用済み。Ubuntu、SUSE、Red Hatはプロセス中。DebianとAmazon Linuxは? まだ脆弱なままだ。これはカーネル開発者だけの問題ではない。エコシステム全体が対応し、テストし、修正を展開する能力の問題なのだ。
そして、公開エクスプロイトがある。短く、Pythonスクリプトで、メモリ上の特権バイナリを正確に標的とする。これは、特別な権限や複雑なセットアップを必要としない、脆弱性の力の恐ろしくもエレガントなデモンストレーションだ。実行するだけで、rootアクセスが手に入る。
差し迫った脅威のその先へ
興味深いのは、Theoriからの示唆だ:「コピー・フェイル」は単独犯ではない。同じ研究活動で、他のカーネル欠陥、少なくとももう一つの権限昇格問題が発見されている。これは、より深いアーキテクチャ上の問題、あるいは特定のカーネルサブシステムにおける一貫した見落としを示唆している。これらの他の発見が公開されるにつれて、我々は注意深く見守っていくことになるだろう。
今のところ、アドバイスはシンプルだが、 daunting だ:システムをパッチ適用せよ。カーネルバージョンを確認せよ。そして、古い、パッチ未適用のシステムでクリティカルなインフラを実行している人たちへ? ダウンタイムの計画を始めよ。これは無視して済むようなバグではない。公開エクスプロイトがあり、7年ものリードタイムがあるのだから。
他のLinuxディストリビューションはどうなる?
提供された表には主要なディストリビューションがいくつかリストされているが、この脆弱性はカーネル4.14以降を搭載するあらゆるLinuxディストリビューションに影響する。これは、膨大な数の構成やエンタープライズデプロイメントに及ぶ。パッチ適用状況とタイムラインについては、必ずお使いのディストリビューションベンダーに確認することが重要だ。
このエクスプロイトは私のシステムを壊しますか?
エクスプロイトはrootアクセスを許可するが、その確実な動作は基盤となるカーネル脆弱性に依存する。ディストリビューションベンダーから提供される公式カーネルパッチを適用すれば、脆弱性は無力化され、エクスプロイトの成功を防ぐことができる。これにより、システムの安定性が確保される。
最近聞いたランサムウェア攻撃と似ていますか?
「コピー・フェイル」のような権限昇格脆弱性は、ランサムウェア攻撃者がシステムへのより深いアクセスと制御を得るために頻繁に悪用されるが、この特定のCVEはパッチ適用が必要な技術的な脆弱性である。その影響は広範であり、将来の攻撃のベクトルとなる可能性はあるが、それ自体がランサムウェアではない。
