LinuxカーネルのゼロデイをAIが発見 悪用で簡単にroot権限奪取が可能に：約9年間見つかることなく潜伏か

Linuxカーネルに約9年間にわたり見過ごされてきた致命的なローカル権限昇格の脆弱性「Copy Fail」が突如浮上した。この脆弱性を悪用すれば、一般ユーザーが極めて簡単にroot権限を取得できる。さらにこの発見を後押ししたのはAIだという。

[田渕聖人，＠IT]

　セキュリティ企業のXintは2026年4月、「Linuxカーネル」に存在するローカル権限昇格の脆弱（ぜいじゃく）性「Copy Fail」を公表した。2026年4月29日（米国時間）には、セキュリティメーリングリスト「oss-security」でも詳細が共有され、深刻な問題として急速に注目を集めている。本脆弱性には「CVE-2026-31431」が割り当てられている。

　この脆弱性を悪用すれば、一般ユーザーが極めて簡単にroot権限を取得できる可能性がある。同社の発表によると、「Ubuntu」や「Red Hat Enterprise Linux」（RHEL）など主要なLinuxディストリビューションが影響を受けるという。

　特に注目されるのは、この問題が2017年に導入されたコードに起因し、約9年間にわたり見過ごされてきた点にある。また今回の発見では、従来の研究に加えてAIを活用した解析が脆弱性の特定を大きく後押ししたことも明らかになっている。

一般ユーザーが簡単にroot権限を取得　約9年間見過ごされてきた脆弱性の正体

　Copy Failは、Linuxカーネルの暗号API（AF_ALG）におけるAEAD処理の実装不備に起因する。2017年にLinuxカーネル4.14系で導入された最適化処理により、暗号処理時のデータ構造において、本来分離されるべきメモリ領域が不適切に共有される状態が発生していた。

　その結果、復号処理中に発生する書き込みが、本来変更できないはずのファイルのページキャッシュに対して実行される。攻撃者はこの挙動によって、ページキャッシュ上の制御可能な位置に対してデータを書き込めるようになる。

　この脆弱性の特徴は、ページキャッシュの任意位置に対して「4バイトの書き込み」が可能になる点だ。一見すると限定的に見えるが、攻撃者はこの書き込みを複数回利用することで、setuidバイナリ（例：/usr/bin/suなど）を書き換え、最終的にroot権限を奪取できる。

　Linuxの「splice()」機構により、ファイルのページキャッシュがコピーされず参照されたまま扱われるため、攻撃者の書き込みはディスクに反映されない。一方で、システムはそのキャッシュを実体として利用するため、不正な改変が即座に実行に反映される。この性質により、ファイル整合性チェックやハッシュ検証では異常を検知できず、フォレンジックも極めて困難になる可能性がある。

　Xintが公開した概念実証（PoC）は非常に短く、環境依存性も低いため、ほぼそのまま複数ディストリビューションで動作するとみられる。

　影響範囲は以下の通りだ。

• 影響あり：Linuxカーネル4.14以降〜修正前バージョン
• 修正済み：Linuxカーネル6.18.22、6.19.12、7.0以降

　暫定的な緩和策としては、問題のあるカーネルモジュール（algif_aead）の無効化が提示されている。AF_ALGは暗号処理をカーネル側で実行するためのインタフェースであり、暗号ディスク（cryptsetup）や無線関連ソフト（iwd）、Webブラウザなど複数のソフトウェアが利用している。このため、単純な無効化はシステム機能に影響を及ぼす可能性がある。

　Linuxカーネル本体では既に修正が取り込まれているが、各ディストリビューションへのパッチ適用にはタイムラグが存在する。そのため、企業や組織においては、自身の利用するディストリビューションのセキュリティアドバイザリーを確認し、速やかなアップデート対応が求められる。