「copy.fail」脆弱性（CVE-2026-31431として割り当て）は、Linuxシステムにとって深刻な脅威であり、ローカル権限昇格を可能にします。これは、既にマシンへの何らかのアクセス権限を持ち、たとえ限定的な権限であっても、攻撃者がその権限をrootレベルに昇格させることができることを意味します。 ### 技術的詳細 このexploitは、カーネル暗号化API（AF_ALGソケット）と`splice()`関数を組み合わせて利用します。これにより、攻撃者は所有していないファイルに、一度に4バイトずつ直接ページキャッシュに書き込むことが可能になります。この脆弱性は、ディスク上のファイルを変更しないため、AIDEやTripwireのような一般的な整合性監視ツールによる検出を回避できる点が特に危険です。 ### 広範な影響 この脆弱性は、Ubuntu、RHEL、Debian、SUSE、Amazon Linux、Fedoraを含む、幅広いLinuxディストリビューションに影響を与えます。exploitは、特定のオフセットや調整を必要とせずに、これらのディストリビューション全体で一貫して機能します。 ### 共有インフラストラクチャへの影響 「copy.fail」脆弱性は、以下のような共有インフラストラクチャ環境に深刻な影響を与えます。 * 共有Kubernetesノード上のコンテナ * 共有ホスティング環境のテナント * 信頼されていないプルリクエストを実行するCI/CDジョブ * Windowsラップトップ上のWSL2インスタンス * シェルアクセスを持つコンテナ化されたAIエージェント これらのシナリオでは、複数のユーザーまたはプロセスが同じLinuxカーネルを共有するため、権限昇格攻撃に対して脆弱になります。 ### 緩和策 脆弱性に対処するパッチは、4月1日にメインラインカーネルにマージされました。ディストリビューションは現在、更新されたカーネルを展開中です。システムがパッチ適用されるまで、脆弱なsyscallをブロックするためにカスタムseccompプロファイルを実装することを検討してください。デフォルトのKubernetes Pod Security Standards（Restricted）およびRuntimeDefault seccompプロファイルは、exploitが使用するsyscallをブロックしません。 ### 参考文献 [Original Vulnerability Disclosure](https://jorijn.com/en/blog/copy-fail-cve-2026-31431-linux-kernel-bug-explained/) [News Article](https://arstechnica.com/security/2026/04/as-the-most-severe-linux-threat-in-years-surfaces-the-world-scrambles/)