CISA(米国サイバーセキュリティ・社会基盤安全保障庁)は2026年5月1日、Linuxカーネルのローカル権限昇格の脆弱性CVE-2026-31431を、実際に悪用されている証拠を受けてKnown Exploited Vulnerabilities(KEV)カタログに追加した。
この脆弱性は「Copy Fail」と呼ばれ、カーネルのalgif_aeadコードに存在し、特権を持たないローカルユーザーが読み取り可能なファイルのページキャッシュを破損させ、rootへ昇格できる。問題となった最適化は2017年に導入されたもので、カーネルメンテナーはインプレース処理の最適化を元に戻すことで修正した。BOD 22-01に基づき、米国連邦民間機関に修正対応が義務付けられた。影響範囲はWSL 2、コンテナ、Kubernetesノード、CI/CDランナー、各種アプライアンスに及ぶ。修正策はカーネル更新、またはRed Hat、Canonical、SUSE、Debian、Amazon、Oracle等によるベンダーバックポートの適用である。
From: 
CISA KEV: Linux “Copy Fail” CVE-2026-31431 Turns Kernel Bug Into Patch Deadline
【編集部解説】
今回の「Copy Fail」(CVE-2026-31431)は、単なる一つのLinuxカーネル脆弱性として片付けるべきではない事案だと、編集部は捉えています。複数の専門メディアの報道を突き合わせると、この事案は「未来のサイバーセキュリティの構造変化」を象徴しているからです。
まず注目すべきは、この脆弱性の発見プロセスです。Theori社の研究者テヤン・リー氏は、同社が開発するAI支援型セキュリティスキャンツール「Xint Code」を活用して、9年間誰にも気付かれなかったロジック欠陥を発見したと報告されています。AIが約1時間で発見にたどり着いたという報道もあり、長年多くの目に晒されながらも見過ごされてきた種類のバグを、AIが体系的に掘り起こす時代が現実になりつつあることを示しています。
一方で、この発見手法の進化は両刃の剣でもあります。Bugcrowdの分析では、こうした「ユニバーサルで信頼性の高いLinux LPE(ローカル権限昇格)」は、グレーマーケットでは10K〜7Mドル(脆弱性ブローカーCrowdfenseの公開価格帯)、過去にはZerodiumが最大500,000ドルを支払っていた水準の「資産」だと指摘されています。AIが防御側を加速させると同時に、攻撃側の発見能力も底上げする構造が生まれています。
技術的な深さにも触れておきましょう。Copy Failは、AF_ALGソケットとsplice()システムコールの相互作用を悪用し、わずか4バイトの書き込みによって、ディスク上のファイルを変更せずにメモリ上のページキャッシュだけを書き換えます。これにより/usr/bin/suなどのsetuidバイナリの「メモリ上の像」だけが改ざんされ、実行時にroot権限が奪取される仕組みです。ファイル整合性監視(FIM)が効きにくいという特性は、従来の防御モデルへの根本的な挑戦と言えるでしょう。
過去の有名なLinuxカーネル脆弱性であるDirty Cow(CVE-2016-5195)やDirty Pipe(CVE-2022-0847)と比較されることが多いのですが、Copy Failはレース条件に依存せず、書き込み位置の制約もなく、約732バイトのPythonスクリプトでディストリビューションを跨いで動作するという点で、より「武器化しやすい」性質を持っています。
影響範囲は想像以上に広いです。Microsoftのセキュリティブログは、Ubuntu 24.04 LTS、Amazon Linux 2023、Red Hat Enterprise Linux 10.1、SUSE 16のほか、Debian、Fedora、Arch Linuxまで、2017年以降にリリースされたほぼすべての主要ディストリビューションが影響を受けると指摘しています。なお、Ubuntu 26.04(Resolute)以降は影響を受けないとされています。
innovaTopia読者にとって重要なのは、これが「Linuxサーバーだけの話」ではない点です。Microsoftが提供するWSL 2は実Linuxカーネルを動かしており、開発者のWindowsマシン上にも攻撃面が存在します。Kubernetesクラスター、CI/CDランナー、各種SaaS基盤——現代のデジタル製品はLinuxカーネルの上で重層的に動いています。コンテナのページキャッシュはホストと共有されるため、一つのコンテナからの侵害が同一ホスト上の他テナントへ波及しうる点も、クラウドネイティブ時代の前提を揺さぶります。
規制と運用の側面でも示唆的です。CISAの拘束力ある運用指令BOD 22-01は米国連邦民間機関にしか直接適用されませんが、KEVカタログは事実上のグローバルな「優先度シグナル」として機能しています。日本企業がクラウドや海外SaaSに依存する以上、このシグナルから無関係でいられる組織はほぼ存在しないと考えるべきでしょう。
長期的な視点では、Copy Failは「複雑性の累積」というオープンソース・カーネル開発が抱える構造課題を可視化しました。問題のインプレース最適化は2017年に性能改善目的で導入されたもので、暗号レビューでは見逃されやすい「メモリの出所と所有権」という別観点の問題でした。AIによるコードレビューの台頭は、この種の盲点を埋める可能性がある一方で、私たちが普段「成熟していて安全」と見なすコードベースに対する信頼の前提を見直す契機にもなります。
未来のソフトウェア基盤は、AIが攻撃者と防御者の双方を加速させる「対称的な軍拡」の中で進化していきます。Copy Failはその最初の象徴的な事例として、長く記憶されることになるかもしれません。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
公表されたサイバーセキュリティ脆弱性に対し、世界共通で割り当てられる識別番号。今回の「CVE-2026-31431」は2026年に登録された通し番号である。
KEV(Known Exploited Vulnerabilities)カタログ
CISAが運用する「既知の悪用された脆弱性」リスト。机上の深刻度ではなく、実際に攻撃に使われた証拠がある脆弱性のみが掲載されるトリアージ用のツールだ。
BOD 22-01
2021年にCISAが発出した拘束力のある運用指令。KEV掲載脆弱性に対し、米国連邦民間機関に期限内の修正対応を義務付ける制度的枠組みである。
ローカル権限昇格(LPE)
すでにシステム上でコード実行できる低権限のユーザーが、root(管理者)など上位権限を奪取する攻撃。リモート侵入後の「次の一手」として連鎖利用されることが多い。
algif_aead / AF_ALG
Linuxカーネルが暗号機能をユーザー空間に提供する仕組みの一部。AF_ALGソケットを介してAEAD(認証付き暗号)演算を呼び出せるが、今回その実装にロジック欠陥が発見された。
ページキャッシュ
ファイルの内容をメモリ上にキャッシュしてアクセスを高速化するLinuxカーネルの仕組み。Copy Failはこのメモリ上の表現だけを書き換え、ディスク上のファイル本体は変更しないため、検知が困難である。
setuidバイナリ
実行時に所有者の権限(典型的にはroot)で動く特殊な実行ファイル。/usr/bin/suなどが代表例で、攻撃の橋渡し役にされやすい。
splice()
Linuxにおけるシステムコールの一つで、ファイルとパイプ・ソケットの間でデータを効率的に移動させる仕組み。Copy Failはこれを悪用してページキャッシュへの書き込み経路を作る。
WSL 2(Windows Subsystem for Linux 2)
Windows上で軽量仮想マシンを使い、本物のLinuxカーネルを動作させる仕組み。Microsoftが提供するLinuxカーネルが内部で動いている。
CI/CDランナー
継続的インテグレーション/継続的デリバリーのジョブを実行する実行環境。外部から提供されたコードをビルド・テストする性質上、信頼境界が曖昧になりやすい。
Dirty Cow / Dirty Pipe
過去にLinuxカーネルで発見された有名な権限昇格脆弱性(CVE-2016-5195、CVE-2022-0847)。いずれもKEVカタログに掲載され、Copy Failの比較対象として頻繁に参照される。
【参考リンク】
CISA(Cybersecurity and Infrastructure Security Agency)公式サイト(外部)
米国サイバーセキュリティ・社会基盤安全保障庁の公式サイト。KEVカタログや各種セキュリティアラートを公表している。
Microsoft Security Blog(外部)
Microsoftの脅威インテリジェンス部門が発信する公式セキュリティブログ。Copy Failの詳細分析記事を公開した。
Theori 公式サイト(外部)
今回の脆弱性を発見した攻勢的セキュリティ企業。AI支援型コード解析ツール「Xint」を開発・運用している。
Tenable 公式サイト(外部)
脆弱性管理製品「Nessus」などを提供する大手セキュリティ企業。Copy FailについてFAQ形式の詳細な解説を公開している。
Sysdig 公式サイト(外部)
クラウドネイティブ環境向けランタイムセキュリティを提供する企業。Copy Failの技術解析と検知ルールを公開した。
Bugcrowd 公式サイト(外部)
バグバウンティプラットフォーム大手。Copy Failの戦略的意義について独自の分析を発信している。
AlmaLinux 公式サイト(外部)
RHEL互換のコミュニティ主導Linuxディストリビューション。対応パッチカーネルをいち早く本番リポジトリに展開した。
CERT-EU(外部)
EU機関のサイバーセキュリティ対応チーム。Copy Failに関する公的アドバイザリを発出している。
NVD(National Vulnerability Database)(外部)
米国NISTが運営する公的な脆弱性データベース。CVE-2026-31431の正式な技術詳細が登録されている。
【参考記事】
CVE-2026-31431: Copy Fail vulnerability enables Linux root privilege escalation across cloud environments(外部)
Microsoftセキュリティブログによる技術詳細解説。影響を受ける主要ディストリビューション、約732バイトのスクリプトで動作する点などを詳述している。
CVE-2026-31431: “Copy Fail” Linux kernel flaw lets local users gain root in seconds(外部)
Sysdigによる技術深掘り記事。脆弱なカーネルバージョン範囲や2017年7月導入のインプレース最適化が原因である点を詳しく解説している。
What we know about Copy Fail (CVE-2026-31431)(外部)
Bugcrowdによる戦略分析記事。グレーマーケットの価格帯や、AIが約1時間で発見した点の意味を独自視点で論じている。
Copy Fail (CVE-2026-31431): Linux Kernel Privilege Escalation FAQ(外部)
TenableによるFAQ形式の解説。発見者情報、開示の時系列、Dirty Cow・Dirty Pipeとの比較を整理している。
High Vulnerability in the Linux Kernel (“Copy Fail”)(外部)
CERT-EUによる公的アドバイザリ。Ubuntu 26.04以降は影響を受けない点や暫定緩和策の手順を掲載している。
Copy Fail (CVE-2026-31431) Patches Released(外部)
AlmaLinuxコミュニティによるパッチ公開アナウンス。上流の修正コミットや本番リポジトリへの展開経緯を記録している。
CVE-2026-31431 (Copy Fail): Kernel Update on CloudLinux(外部)
CloudLinuxによる実務的対応ガイド。RHEL系ではmodprobeベースの緩和策が機能しない点など、現場で誤解されやすい点を指摘している。
【編集部後記】
今回のCopy Failは、私たちが日々使うクラウドサービスやスマホアプリの「下のほう」で静かに動いているLinuxカーネルの話です。普段意識しない領域ですが、AIが約1時間で9年間眠っていた欠陥を見つけ出したという事実は、ソフトウェアの安全性そのものの未来を変える出来事かもしれません。みなさんは、AIが攻撃と防御の両方を加速させていく時代をどう感じますか。お使いの開発環境やWSL、ご利用のクラウドサービスに、思いがけず関係している可能性があります。気になった方はぜひ、ご自身の身の回りのカーネルを少し気にかけてみてください。
