CVE-2026-31431、愛称「Copy Fail」は、2017年から影に潜んでいたLinuxカーネルの重大な脆弱性で、ようやくセキュリティの注目を浴びている。まるで「安全」という言葉が8年越しのバグを意味するかのように。
Linuxユーザーでなくても理解できるように説明しよう。あなたのコンピュータのメモリを、教師がリアルタイムで成績を記録する黒板だと想像してほしい。生徒はチョークも消しゴムも使えないので、カンニングはできない。Copy Failは、いつの間にかチョークと消しゴムを手に入れ、あなたが見ていない隙に自分の成績だけを書き換えるずる賢い生徒のようなものだ。ただしこの場合、「成績」はシステムのセキュリティである。
要するに、Copy Failは特定のデータ型のセキュリティを処理するLinuxカーネルの欠陥だ。攻撃者は基本的なシステムアクセスだけで、コンピュータのRAM内の重要なデータを改ざんできる。改ざんされたデータはシステムを欺き、攻撃者をrootユーザーと誤認させ、完全な制御を与える。まるで用務員がボスの名札を奪い、自分のクローゼットの隣の壁に貼り付けて、自分がボスだと皆に信じ込ませるようなものだ。
多くのLinux脆弱性が正確なタイミングや複雑なシーケンスを必要とするのに対し、Copy Failは驚くほど単純明快だ。AF_ALGソケットインターフェースとsplice()システムコールを悪用して、読み取り可能なファイルのカーネルページキャッシュ内のわずか4バイトを上書きする。そこから攻撃者は、メモリ内のsetuidバイナリ(suコマンドなど)を改変してrootアクセスを得る。タイミング依存のリトライは不要で、安定した一直線のエクスプロイトだ。
Copy Failは、バージョン4.14から6.19.12までのすべてのLinuxカーネルに影響する。そう、2017年から現在までのカーネルだ。なぜ被害を数年だけに限定する必要があるのか?
Xint Code Research Teamによると、「この発見はAI支援によるものだが、Theoriの研究者Taeyang Leeが、Linux暗号サブシステムがページキャッシュバックデータとどのように相互作用するかを研究していた洞察から始まった。」つまり、人間が最初のアイデアを持ち、AIが検索を拡大したのだ。もちろんAIが関わっている。
修正は簡単だ:カーネルを最新バージョンにアップデートすること。パッチが適用されているか確認するには、次のコマンドを実行する:
```
l kmod grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"
```
「Affected module is NOT loaded」と表示されれば問題ない。「Affected module is loaded」と表示されたら、システムをアップデートせよ。アップデート後もロードされている場合は、次のコマンドでalgif_aeadモジュールを無効にする:
```
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
```
これでCopy Failから身を守るために必要な知識は得られた。どういたしまして。