Xint Codeが発見したLinuxの脆弱性「Copy Fail」(CVE-2026-31431)が2026年4月29日に公開された。この脆弱性は2017年以降に出荷されたすべてのLinuxディストリビューションに影響し、732バイトのPythonスクリプトでroot権限を取得できる。Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 14.3、SUSE 16で動作が確認されている。
脆弱性は`authencesn`の論理バグで、`AF_ALG`と`splice()`を通じて4バイトのページキャッシュ書き込みが可能となる。非特権ローカルユーザーアカウントのみで悪用でき、約10年間悪用可能だった。
2026年3月23日にLinuxカーネルセキュリティチームに報告され、4月1日にメインラインにパッチがコミットされた。4月22日にCVE番号が割り当てられ、4月29日に一般公開となった。
From: 
Copy Fail — CVE-2026-31431
【編集部解説】
編集部では複数の信頼できる技術メディアやセキュリティ情報源を確認し、事実関係に誤りがないことを確認しました。
Copy Failは単なる脆弱性報告を超えて、現代のサイバーセキュリティ領域におけるパラダイムシフトを象徴する出来事といえます。この脆弱性の技術的特徴を理解することで、なぜこれが業界に大きな衝撃を与えているのかが見えてきます。
従来のLinux特権昇格脆弱性の多くは、競合状態(race condition)を悪用したものが中心でした。Dirty Cow(CVE-2016-5195)は仮想メモリサブシステムのcopy-on-writeパスでの競合状態の勝利が必要で、しばしば複数回の試行が必要で、時にはシステムクラッシュを引き起こしたと報告されています。これに対しCopy Failは「直線的論理欠陥」として動作し、確率的な要素を排除した確実性を持ちます。
技術的な深層を解説すると、この脆弱性はカーネルの暗号APIの設計思想に根ざした問題です。AF_ALGは、カーネルの暗号サブシステムを非特権ユーザースペースに公開するソケット型として機能し、本来は安全なはずのインターフェースでした。しかし2017年の最適化により、authencesn復号化パスで4バイトの「scratch write」が発生する設計になっていました。
このバグの破壊力は、その汎用性にあります。同じスクリプトが配布間で動作し、カーネルオフセットもないという特徴により、一度作成された攻撃コードが事実上すべてのLinux環境で機能します。これは攻撃者にとって極めて有利な条件であり、Zerodiumの公開価格リストでは、プラットフォームが2025年初頭に停止する前に、ハイエンドLinuxゼロデイに対して最大500,000ドルを支払っていたという市場価値からも、その重要性が理解できます。
コンテナ化された現代のインフラにとって、この脆弱性は特に深刻です。ページキャッシュはシステム上のすべてのプロセス間で共有され、コンテナ境界を越えて共有されるため、単一のコンテナ内での攻撃がホスト全体を危険にさらします。Kubernetes環境では、これは単なる特権昇格を超えて、テナント間の完全な分離破綻を意味します。
AI駆動のセキュリティ研究の進歩も注目すべき点です。Copy FailはXint Codeによって約1時間のスキャン時間でLinux crypto/サブシステムに対して発見されたと報告されており、従来の手動監査では発見困難だった深層の論理欠陥を、AIが短時間で特定できることを実証しました。
組織が取るべき対策は明確です。即座のパッチ適用が最優先ですが、パッチ適用前の緩和策として`algif_aead`モジュールの無効化が推奨されています。AF_ALGはカーネル暗号へのユーザースペースドアで、ほぼ何もそれを使用していない。LUKS、SSH、OpenSSL、IPsecなどはすべてカーネル暗号を直接呼び出すかユーザースペースライブラリを使用しているため、無効化による実用上の影響は限定的です。
長期的視点では、この発見はカーネル開発における設計原則の再考を促すものです。最適化のために導入された「in-place操作」が約10年間潜在的な攻撃ベクターとなっていたという事実は、パフォーマンス向上とセキュリティ確保のバランスの難しさを浮き彫りにします。
【用語解説】
CVE-2026-31431
Copy Failに割り当てられた脆弱性識別番号。CVE(Common Vulnerabilities and Exposures)は脆弱性に対する標準的な識別システムである。
root権限
Linuxシステムにおける最高管理者権限。システムの全ファイルやプロセスに対する完全な制御権を持つ。
authencesn
Linuxカーネルの暗号テンプレートの一つ。認証付き暗号化機能を提供するが、今回の脆弱性の原因となった。
AF_ALG
カーネルの暗号サブシステムをユーザープログラムから利用できるようにするソケットインターフェース。
splice()
ファイル記述子間でデータを直接転送するLinuxシステムコール。コピーを伴わずページ参照で処理する。
ページキャッシュ
ファイルの内容をメモリ上に一時保存する仕組み。複数のプロセス間で共有されるため、今回の攻撃対象となった。
競合状態(race condition)
複数の処理が同時実行される際に、実行順序によって結果が変わってしまう不安定な状態。
直線的論理欠陥
確率的要素や競合状態を必要とせず、決定的に動作する論理上の設計ミス。
コンテナエスケープ
コンテナ内部から脱出してホストシステムの権限を取得する攻撃手法。
algif_aead
認証付き暗号化を提供するカーネルモジュール。無効化することで今回の攻撃を防げる。
【参考リンク】
Xint Code(外部)
Copy Failを発見したTheori社のAI駆動セキュリティ研究ツール。コードベースの脆弱性を自動検出する。
GitHub – Copy Fail CVE-2026-31431(外部)
Copy Failに関する技術詳細、概念実証コード、検証用ツールが公開されているプロジェクトページ。
Canonical Ubuntu(外部)
今回の脆弱性が確認されたLinuxディストリビューションの一つ。デスクトップからサーバー用途まで幅広く利用される。
Red Hat Enterprise Linux(外部)
企業向けLinuxディストリビューション。RHEL 14.3で脆弱性の動作が確認されている。
【参考記事】
What we know about Copy Fail (CVE-2026-31431) | @Bugcrowd(外部)
Copy Failの技術的影響とTheoriチームの実績について詳細に解説。過去のDirty Pipeとの比較や、グレーマーケットでの脆弱性価格についても言及している。
Copy Fail: 732 Bytes to Root on Every Major Linux Distributions – Xint(外部)
発見者であるXint Codeによる公式技術解説。脆弱性の根本原因、攻撃メカニズム、他の高重要度バグの発見についても詳述している。
CVE-2026-31431: The ‘Copy Fail’ Vulnerability Exposes Critical Data Handling Flaws(外部)
脆弱性の長期的影響とソフトウェアサプライチェーンへの信頼性問題を分析。監査の課題とセキュリティパラダイムの根本的再考の必要性を論じている。
oss-sec: CVE-2026-31431: CopyFail: linux local privilege scalation(外部)
Linux CVEチームによる公式発表。影響範囲と修正パッチのコミット情報を含む技術仕様を提供している。
【編集部後記】
Copy Failの発見は、私たちが当たり前に使っているLinuxシステムの根深い脆弱性を浮き彫りにしました。特に興味深いのは、AIツールがわずか1時間で約10年間見過ごされてきた欠陥を発見したという事実です。これは人間による従来の監査手法の限界を示すと同時に、AI駆動のセキュリティ研究が新たな可能性を開くことを意味しているのではないでしょうか。
皆さんの組織では、このような根本的な脆弱性にどう備えていますか?また、AIがセキュリティ研究の主流となる未来について、どのような期待と不安をお持ちでしょうか?ぜひコメントやSNSで、皆さんの視点を共有していただければと思います。
