Linuxの新たな脆弱性「Dirty Frag」　攻撃で悪用されている可能性（CVE-2026-43284、CVE-2026-43500）

Linuxの新たな脆弱性「Dirty Frag」　すでに攻撃で悪用されている可能性が判明（CVE-2026-43284、CVE-2026-43500）

SecurityWeek – May 11, 2026

新たに発見されたLinuxの脆弱性「Dirty Frag」は、すでに攻撃で悪用されている可能性が高いことがわかった。

「Copy Fail 2」とも呼ばれるこのエクスプロイトは、2件の脆弱性（CVE-2026-43284、CVE-2026-43500）を連鎖的に利用してroot権限の取得を許すもの。Linuxカーネルのxfrm-ESP（IPsec）およびRxRPCコンポーネントに影響を与え、コンテナワークロードを実行していないホストに最も大きな影響を及ぼすという。Dirty Fragは2022年に見つかった脆弱性「Dirty Pipe」や、最近発見された「Copy Fail」に類似しているようだ。

Copy Failは実際に悪用されており、Dirty Fragも悪用された可能性があるとマイクロソフトは報告している。同社によると、後者は攻撃者が標的システムへのアクセス権を取得した後に悪用される可能性があり、Dirty FragかCopy Failのいずれかを悪用したものとみられる限定的な活動が観測されている。

アクセス権の取得方法はさまざまで、侵害されたSSHアカウント、ネット上に公開されたアプリケーションを介したWebシェルアクセス、サービスアカウントの悪用、コンテナからホスト環境への脱出、リモートアクセス侵害などが考えられるそうだ。

Red Hat、Amazon Linux、Ubuntu、Fedora、Alma Linuxなど、LinuxディストリビューションはDirty Fragに対するパッチと対策の提供を開始している。

先週の脆弱性開示を受け、Linuxカーネルのキルスイッチが提案される（CVE-2026-31431）

Linuxiac – May 8, 2026

前述のDirty FragやCopy Failなど重大な脆弱性が開示されたことを受け、Linuxカーネルのリスクを軽減する緊急「キルスイッチ」メカニズムの導入が検討されているという。

Linux安定版カーネルの共同メンテナーでもあるNVIDIAのエンジニア、Sasha Levin氏が提出したパッチにより、システム管理者はセキュリティアップデートがリリースされるまでの間、脆弱なカーネル機能を一時的に無効化できるようになる。その仕組みはシンプルで、危険なコードパスが特定された場合、カーネルにその関数の使用を停止するよう指示できるそう。

これはバグの根本的な解決策ではないものの、パッチ適用済みのカーネルが利用可能になるまでの間、脆弱なパスへのアクセスをブロックできるようになる。特権管理者がキルスイッチを有効化すると実行時に効力が発揮され、無効化されるかシステムが再起動されるまで作動すると説明された。

提案されたキルスイッチはほとんどのシステムが通常依存していないAF_ALG、ksmbd、nf_tables、vsock、ax25などのコードパスを対象としているため、環境によっては既知の脆弱性を持つカーネルを実行するより、これらの機能を一時的に無効化するほうが影響を抑えられる場合もあるそうだ。

ただし、このパッチには課題もある。まず、機能を安全に無効化できるかどうかを自動的に判断できないため、誤った機能を無効化したり、誤った値を返したりすると、システム動作が混乱、あるいは新たな問題が発生する恐れもあるとのこと。またライブパッチではない点にも注意が必要とされ、一般的なセキュリティスイッチとして気軽に利用できるものではなく、緊急的な緩和策としてのみ機能するとLinuxiacは指摘している。

このキルスイッチは現在も審査中で、Linuxカーネルにはまだ採用されていない。