Linuxオペレーティングシステムに、デバイスを完全に乗っ取られかねない重大な脆弱性が発見された。米当局はリスクを「高」と評価し警告を発した。
CopyFail(CVE-2026-31431)と呼ばれるこの脆弱性はLinuxカーネルに存在し、2017年以降にリリースされたほぼすべてのバージョンに影響を及ぼすと報告されている。
原因はメモリ上のデータ処理における欠陥。特定の状況下でシステムがデータを誤ってコピーし、メモリ破壊を引き起こす。その結果、権限昇格が発生し、低権限のユーザーがroot権限を奪取してシステムを完全に掌握できる。
特にサーバーにとって危険度が高く、悪用されればインフラの乗っ取り、機密データへのアクセス、さらなる攻撃の踏み台として利用される恐れがある。
直接的なインターネット経由の悪用はできないものの、他のネットワーク脆弱性と組み合わせることで遠隔攻撃が可能となる。
米当局はCopyFailがすでに実際の攻撃で悪用されていると報告しており、脅威レベルは大幅に上昇している。CISAは連邦政府機関に対し、5月15日までに本脆弱性の修正を完了するよう厳命した。
すでに開発元からセキュリティパッチが提供されている。ユーザーや組織はシステム乗っ取りのリスクを軽減するため、速やかにパッチを適用すべきだ。