サイバーセキュリティコミュニティは、**Theori**の研究者による開示のわずか1日後に、攻撃者が「Copy Fail」Linuxセキュリティ脆弱性を活発に悪用しているという報告が浮上したことから、警戒態勢に入っています。この脆弱性は、権限のないローカルユーザーが影響を受けるシステムでroot権限を取得できる可能性があるため、緊急性が高まっています。 ## CVE-2026-31431: 「Copy Fail」脆弱性 **CVE-2026-31431**として追跡されているこのセキュリティ上の欠陥は、Linuxカーネルのalgif_aead暗号アルゴリズムインターフェースに存在します。この脆弱性により、ローカルユーザーは、任意の読み取り可能なファイルのページキャッシュに4バイトの制御されたバイトを書き込むことで、権限昇格が可能になります。これにより、パッチが適用されていないLinuxシステムでrootアクセスを取得できます。 ## Proof-of-Concept Exploitが公開 **Theori**の研究者は、脆弱性を公に開示し、Pythonで書かれた概念実証（PoC）exploitを公開しました。研究者によると、このexploitは非常に信頼性が高く、「100%信頼できる」rootアクセスを**Ubuntu 24.04 LTS**、**Amazon Linux 2023**、**RHEL 10.1**、および**SUSE 16**デバイスで達成しています。 さらに、**Theori**は、同じexploitスクリプトが、2017年以降にリリースされた脆弱なカーネルバージョンを持つほぼすべてのLinuxディストリビューションに対して使用できると主張しています。 「同じスクリプト、4つのディストリビューション、4つのrootシェル — 1回の実行で。同じexploitバイナリが、すべてのLinuxディストリビューションで変更なしに動作します」と**Theori**は述べています。「カーネルが2017年からパッチ適用までの間にビルドされた場合（事実上、すべての主要なLinuxディストリビューションが対象となります）、あなたは範囲内です。」 ## パッチ適用作業と初期の遅延 主要なLinuxディストリビューションは脆弱性に対処するためのカーネルアップデートの発行を開始しましたが、Tharrosの主任脆弱性アナリストである**Will Dormann**氏は、**Theori**のアドバイザリの時点では公式アップデートが利用可能ではなかったと指摘しています。  *4つのLinuxディストリビューションでrootシェルを取得（Theori）* ## CISAの指示と推奨事項 金曜日、**CISA**は「Copy Fail」脆弱性を既知の悪用脆弱性（KEV）カタログに追加しました。この措置により、連邦民間執行機関（FCEB）は、拘束力のある運用指令（BOD）22-01で定められた通り、5月15日までにLinuxエンドポイントおよびサーバーにパッチを適用することが義務付けられました。 「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と、米国サイバーセキュリティ機関は警告しました。 **CISA**は、各機関に「ベンダーの指示に従って緩和策を適用し、クラウドサービスに関する適用可能なBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止する」よう求めています。 BOD 22-01は米国政府機関を対象としていますが、**CISA**はすべてのセキュリティチームに対し、ネットワークを保護するために**CVE-2026-31431**のパッチ適用を優先することを強く推奨しています。 ## Linuxカーネル脆弱性の最近の歴史 この事件は、先月Linuxディストリビューションによってパッチ適用された、もう一つの高深刻度のroot権限昇格脆弱性である**CVE-2026-41651**（Pack2TheRootと呼ばれる）に続いています。この脆弱性は、PackageKitデーモンで10年以上存在していました。 [](https://hubs.li/Q04crVgD0)