**CISA**は、様々なLinuxディストリビューションに影響を与えるローカル権限昇格の脆弱性である**CVE-2026-31431**に関するアラートを発行しました。**Copy Fail**としても知られるこの脆弱性は、権限のないローカルユーザーがrootアクセスを取得することを可能にします。 ### Copy Failの技術的詳細 **CVE-2026-31431**（CVSSスコア：7.8）として追跡されているこの脆弱性は、Linuxカーネル内の不適切なリソース転送に起因します。TheoriおよびXintの研究者によると、**Copy Fail**はLinuxカーネルの認証暗号テンプレートにおけるロジックバグです。これにより、攻撃者は比較的少量（732バイト）のPython exploitを使用して、権限昇格を容易に引き起こすことができます。この脆弱性は、2011年、2015年、2017年に行われた、一見無害なLinuxカーネルへの変更によって導入されました。 ### 影響と影響を受けるシステム この高深刻度の脆弱性は、2017年以降に出荷されたLinuxディストリビューションに影響を与えます。権限のないローカルユーザーが、セットUIDバイナリを含む、読み取り可能な任意のファイルのカーネルのメモリ内[ページキャッシュ](https://en.wikipedia.org/wiki/Page_cache)を破損させることで、rootレベルのアクセス権を取得することを可能にします。 Wiz（**Google**傘下のセキュリティ企業）は、ページキャッシュの変更は、ディスクを変更することなく、実行時にバイナリを効果的に変更すると説明しています。これにより、攻撃者は特権バイナリ（例：/usr/bin/su）にコードを注入してroot権限を取得できます。  ### コンテナ化された環境のリスク クラウド環境におけるLinuxの普及は、この脆弱性の影響を大幅に増幅させます。**Kaspersky**は、**Copy Fail**が**Docker**、**LXC**、**Kubernetes**などのコンテナ化された環境に深刻なリスクをもたらすと警告しています。これらのプラットフォームは、algif_aeadモジュールがデフォルトでホストカーネルにロードされている場合、コンテナ内のプロセスにAF_ALGサブシステムへのアクセスを許可することがよくあります。 **Kaspersky**はさらに、exploitが正規のシステムコールのみを使用するため、その悪用は比較的簡単で検出が困難であると指摘しています。これにより、通常のアプリケーションの動作との区別が難しくなります。 ### Exploitの利用可能性と脅威アクターの活動 完全に機能する概念実証（PoC）exploitが公開されています。**Kaspersky**は、オープンソースリポジトリで、元のPython実装のGoおよびRustバージョンを検出しています。**Microsoft Defender Security Research Team**は、初期のテスト活動を観察しており、近い将来、脅威アクターによる悪用の増加の可能性を示唆しています。 ### Microsoftの分析と攻撃ベクトル **Microsoft**によると、攻撃ベクトルはローカルであり、ユーザーインタラクションなしで低権限を必要とします。単独ではリモートで悪用可能ではありませんが、Secure Shell（SSH）アクセス、悪意のあるCIジョブ実行、またはコンテナの足場などの初期アクセスベクトルと連鎖すると、非常に影響力が高くなります。 **Microsoft**は、潜在的な攻撃シナリオを概説しました。 1. 脆弱なLinuxホストまたはコンテナを特定するための偵察。 2. Pythonトリガーの準備。 3. 低権限コンテキストからのexploitの実行。 4. カーネルページキャッシュ内の制御された4バイトの上書きにより、機密性の高いカーネル管理データの破損につながる。 5. UID 0および完全なroot権限への昇格。 ### 修正と緩和策 連邦市民執行機関（FCEB）は、2026年5月15日までに修正を適用することが義務付けられています。影響を受けるLinuxディストリビューションからパッチがリリースされています。直ちにパッチを適用できない場合は、組織は影響を受ける機能を無効にし、ネットワーク分離を実装し、厳格なアクセス制御を適用する必要があります。