root権限取得につながるLinuxカーネルの脆弱性「DirtyClone」　PoCコードが公開される（CVE-2026-43503）

root権限取得につながるLinuxカーネルの脆弱性「DirtyClone」　PoCコードが公開される（CVE-2026-43503）

SecurityWeek – June 29, 2026

ローカルユーザーにroot権限を取得される恐れがあるLinuxカーネルの脆弱性について、米企業JFrogが技術的詳細とPoCコードを公開した。

このローカル権限昇格のバグは「DirtyClone」と名付けられ、Linuxカーネルのメンテナに報告直後の5月24日に修正されたもの。CVSSスコアは8.8と深刻度が高く、CVE-2026-43503として追跡されている。

JFrogによると、この欠陥は5月中旬に対処された「DirtyFrag」（Copy Fail 2）および「Fragnesia」の亜種に相当し、いずれも2022年に公表されたLinuxカーネルの脆弱性「Dirty Pipe」と類似した性質を持つとのこと。これらのメモリ破損の欠陥は、Linuxカーネルのコアネットワーキングスタックに影響を及ぼすソケットバッファ（skb）が共有ページキャッシュメモリを参照する仕組みに起因するそうだ。

関連記事：Linuxカーネルの新たなLPE脆弱性「Fragnesia」はDirty Fragのパッチによって発生（CVE-2026-46300）

影響を受けるのはDebian、Fedora、Ubuntuなど非特権ユーザー名前空間（unprivileged user namespaces）を有効にしている主要なLinuxディストリビューションで、さまざまなサブシステムにおけるインプレース暗号化変換を利用して悪用される可能性があるという。防御策としてはLinuxカーネルをバージョンv7.1-rc5に更新するだけでなく、DirtyFragファミリーに対する一連の修正をすべて適用することが必須とされている。

米国、W杯の違法ストリーミングサイト約400件を摘発

The Record – June 30th, 2026

FIFAワールドカップ2026の決勝トーナメントを目前に控えた26日、米政府は同大会の試合を違法にストリーミング配信していた約400件のインターネットドメインを差し押さえたと発表した。

米司法省（DOJ）によると、ワールドカップ主催団体のFIFAに加え、米放送局のNBCユニバーサルやその他の組織が協力してこれらのドメインを特定。このオペレーションは国土安全保障省（DHS）の一部門である国土安全保障捜査局（HSI）をはじめ、米国の検察官で構成される国際コンピューターハッキング・知的財産（ICHIP）ネットワークが連携して実施された。

DOJは「オンライン海賊行為の拠点として知られるペルーとブルガリアにおいて、ワールドカップの違法ストリーミングに関連するサーバーやドメインを狙った」とコメント。さらに「クロアチア、ルーマニア、ポーランド、コロンビアでも、ICHIPの支援を受けた同様の摘発が行われた」と明かした。HSIは2022年の前回大会でも、70件以上の不正サイトを差し押さえた同様のオペレーションを主導している。

スポーツの違法ストリーミング配信は、一般的にIPTV（インターネット・プロトコル・テレビジョン）を通じて行われている。近年、当局は「Streameast」や「247TVStream」など大規模な違法配信サービスの摘発を進めており、こうした違法配信で数百万ドルもの収益が上がっている実態も明らかになっている。

なお、日本時間30日未明のラウンド32でブラジルと対戦した日本は、健闘及ばず1−2の逆転負けを喫した。