Linuxに、わずか2週間で2件目となる重大な権限昇格の脆弱性が発見されました。新たに公開された「Dirty Frag」は、研究者Hyunwoo Kim氏によって先週末に開示された後、第三者による詳細リークを受けてKim氏自身がPoCのソースコードを公開し、流出したエクスプロイトコードは3日前にオンラインに出回ったと報じられています。Ars Technicaによれば、これはほぼすべての主要Linuxディストリビューションで信頼性高く動作するとされ、低権限ユーザーやコンテナ、仮想マシンの利用者がroot権限を奪取できる可能性があります。Microsoftは実環境でのエクスプロイト実験の兆候を確認していると報じられています。各ディストリビューションのパッチ適用が急務です。
「Dirty Frag」とは何か——2つのCVEを連鎖させる攻撃
ポイント: Dirty Fragは、IPsec ESPとRxRPCという2つの異なるカーネルコンポーネントの脆弱性を組み合わせた、新しいタイプの権限昇格攻撃です。
Dirty Fragは、研究者のHyunwoo Kim氏によって先週末に開示された脆弱性です。Ars Technicaによれば、開示直後に第三者が詳細を漏洩させ、これを受けてKim氏自身が開発したPoCのソースコードを公開したとされます。流出したエクスプロイトコードは3日前にオンラインに出回ったと報じられています。攻撃はLinuxカーネルの2つの脆弱性、CVE-2026-43284 と CVE-2026-43500 を連鎖させることで成立します。
両脆弱性ともカーネルがメモリ上に保持するページキャッシュの取り扱いに起因しており、信頼できないユーザーがキャッシュを書き換えられる点が問題です。
- CVE-2026-43284: IPsec ESP受信パスの
esp_input()処理に存在。esp4・esp6プロセスを標的にする - CVE-2026-43500:
rxkad_verify_packet_1()に存在。RxRPCを標的にする
Automoxの研究者によると、Dirty Fragは2022年の「Dirty Pipe」や先週公表されたばかりの「Copy Fail」と同じバグファミリーに属しますが、新しいのは攻撃対象で、pipe_buffer ではなくカーネル構造体 sk_buff の frag メンバーを狙います。splice() を使って読み取り専用のページキャッシュ(例えば /etc/passwd や /usr/bin/su)への参照を送信側skbのfragスロットに仕込み、受信側カーネルがそのfragに対して暗号処理を行うことで、RAM上のページキャッシュが書き換えられる仕組みとされています。攻撃者は読み取り権限しか持たなくても、以降のファイル読み出しで改変版が見えるようになります。
エクスプロイトの完成度と「ゼロデイ」化の経緯
ポイント: 開示直後に第三者が詳細を漏洩したことで、パッチ未適用の状態でPoCコードが流通する「ゼロデイ」状態に陥ったと報じられています。
Ars Technicaによると、Kim氏の開示直後に第三者が詳細を漏洩させ、結果としてゼロデイ状態となりました。これを受けてKim氏自身もPoCコードのソースを公開しています。流出したエクスプロイトコードは3日前にオンラインに出回り、ほぼすべての主要Linuxディストリビューションで信頼性高く動作するとされています。
特に厄介とされるのは、このエクスプロイトが 決定論的(deterministic) である点です。実行のたびに同じ挙動を示し、ディストリビューションを問わず一貫して動作します。さらにクラッシュを発生させないため、攻撃の検知も困難とされています。先週公表されたCopy Failも同様の特性を持っています。
セキュリティ企業Aviatrixの研究者は次のように指摘しています。
「Dirty Frag脆弱性は、未パッチのカーネル欠陥を悪用することで権限のないユーザーがroot権限を取得できるため、Linuxシステムにとって直ちに対処すべき重大な脅威となっています。PoCエクスプロイトが公に入手可能で、限定的ながら実環境での悪用の兆候が確認されている以上、組織はパッチ適用と緩和策の実装を迅速に進める必要があります」
単独では不安定——緩和条件としてのAppArmorとrxrpc.ko
ポイント: 2つの脆弱性は単独では成立しにくく、特定の構成が攻撃を無効化します。ただし連鎖させると主要ディストリビューションすべてで成立するとKim氏のテストでは確認されています。
2つの脆弱性を単独で使ってもエクスプロイトは不安定です。Ubuntuの一部構成では AppArmor が信頼できないユーザーによる名前空間作成を妨げ、ESP側の手口を無効化します。また、多くのディストリビューションは既定で rxrpc.ko を読み込まない ため、RxRPC側も無効化されます。しかし2つを連鎖させることで、Kim氏がテストしたすべての主要ディストリビューションでroot奪取が可能になったとされています。
どんな環境が危険か——共有環境とVMが最大リスク
ポイント: マルチテナント・共有環境ほど攻撃適性が高いとされ、強化済みコンテナよりも仮想マシンの方がリスクが大きい可能性があります。
攻撃が成立した場合、攻撃者はSSHアクセス、Webシェル実行、コンテナエスケープ、低権限アカウントの侵害といった経路でroot権限を行使できます。特に複数の利用者が同じサーバーを共有する環境では、攻撃適性が高いと指摘されています。
Microsoftの研究者は次のように述べています。
「Dirty Fragが注目に値するのは、rxrpcとesp/xfrmネットワーキングコンポーネントを含む複数のカーネル攻撃経路を導入し、エクスプロイトの信頼性を高めている点です。Linuxのローカル権限昇格でしばしば見られる狭いタイミングウィンドウや不安定な破損条件に依存するのではなく、Dirty Fragは脆弱な環境全体での一貫性を高めるよう設計されているように見えます」
一方、Ars Technicaによれば、Google傘下のWizの研究者は、デフォルトのセキュリティ設定が有効な強化されたコンテナ環境(Kubernetesなど)では、エクスプロイトがコンテナを脱出する可能性は低いとの見解を示していると報じられています。
対応策——Debian / AlmaLinux / Fedora は対応済み、それ以外は公式プロバイダで確認を
両脆弱性ともLinuxカーネル本体では修正済みですが、開示直後の時点では各ディストリビューションへの取り込みは進んでいませんでした。記事公開時点では Debian、AlmaLinux、Fedora が本番版パッチをリリース済みです。その他のディストリビューションを利用している場合は、各公式プロバイダの情報を確認する必要があります。
| 項目 | 内容 |
|---|---|
| 脆弱性名 | Dirty Frag |
| CVE | CVE-2026-43284 / CVE-2026-43500 |
| 影響 | 低権限ユーザーがroot権限を奪取可能とされる |
| 対象 | ほぼすべての主要Linuxディストリビューション |
| 攻撃の特徴 | 決定論的・クラッシュなし・PoC公開済み |
| パッチ提供済み | Debian、AlmaLinux、Fedora ほか |
Linuxを運用しているのであれば、ただちにパッチを適用するのが最善の対応です。修正には再起動が必要になる場合がありますが、Dirty Fragクラスの脅威からの保護を考えれば、サービス停止コストを十分上回る価値があります。即時適用が難しい場合は、各セキュリティベンダーが公開している緩和策に従う必要があります。
サーバー運用者・コンテナホスト管理者にとっては、即座に対応すべき重大度のアップデートです。特に共有環境やマルチテナント環境を運用している場合、パッチ適用までの時間が攻撃成立リスクに直結します。
各ディストリビューションのパッチ状況とCVSSスコア
Dirty Fragの2件の脆弱性は、すでにLinuxカーネルのmainlineで修正されています。CVE-2026-43284はコミットf4c50a4034e6で、CVE-2026-43500はコミットaa54b1d27fe0でパッチが適用されています。本脆弱性は2026年4月30日にLinuxカーネルメンテナへ報告されました。
主要ディストリビューションの評価と影響範囲
| 項目 | 内容 |
|---|---|
| CVE-2026-43284 CVSS 3.1 | kernel.org CNA評価で8.8(HIGH) |
| CVE-2026-43500 CVSS 3.1 | Canonical評価で7.8(HIGH) |
| AlmaLinux 8 | CVE-2026-43284のみ影響 |
| AlmaLinux 9 / 10 | kernel-modules-partner導入時のみCVE-2026-43500の影響 |
Red HatはRHSB-2026-003として情報を公開しており、OpenShift Container Platform 4にも影響することが確認されています。暫定的な緩和策としてカーネルモジュール・ブラックリストの適用が案内され、ノード再起動は不要とされています。
「Copy Fail緩和策」では防げない理由と実観測の攻撃パターン
Dirty Fragが厄介なのは、先行する「Copy Fail」と表面上は似ていても、有効だった緩和策が通用しない点です。algif_aeadモジュールが有効か否かに関わらずトリガー可能で、algif_aeadのブラックリスト化を適用済みのシステムも依然として脆弱です。混入時期もxfrm-ESP Page-Cache Writeは2017年から、RxRPC Page-Cache Writeは2023年から存在しており、過去9年間にリリースされたカーネルが影響を受けます。
攻撃成立に必要な条件と実観測の挙動
- エクスプロイトには通常CAP_NET_ADMINのような高権限が必要であり、seccompプロファイル既定のKubernetesなど強化されたコンテナ環境では悪用されにくいとされています。
- Ubuntuは、コンテナを実行しないホストではローカルユーザーがroot権限へ昇格でき、第三者ワークロードを実行するコンテナ環境ではコンテナエスケープも誘発しうると説明しています。
- Microsoftは、外部接続によるSSHアクセス獲得→インタラクティブシェル生成→ELFバイナリ(./update)展開→suによる権限昇格という攻撃タイムラインを確認しています。
Q&A
Q. Dirty Fragはどのような攻撃ですか? Linuxカーネルの2つの脆弱性(CVE-2026-43284とCVE-2026-43500)を連鎖させて、低権限ユーザーや仮想マシン利用者がroot権限を奪取できるとされる権限昇格攻撃です。エクスプロイトは決定論的に動作し、クラッシュを発生させないためステルス性も高いと報じられています。
Q. 自分のLinux環境はすぐパッチを当てるべきですか? はい。記事公開時点でDebian、AlmaLinux、Fedoraが本番版パッチを公開済みで、PoCコードも公開され、Microsoftは実環境での攻撃実験の兆候を確認していると報じられています。再起動を伴う可能性がありますが、即時適用が推奨されます。即時適用が難しい場合は、各ベンダーが提示する緩和策に従ってください。
Q. SSHでログインできる一般ユーザーがいるVPSは危険ですか? ソース記事では、攻撃成立後の経路としてSSHアクセス・Webシェル実行・コンテナエスケープ・低権限アカウントの侵害が挙げられており、複数の利用者が同じサーバーを共有する環境は「攻撃適性が高い」と指摘されています。一般ユーザーがSSHログインできるVPSはこの条件に該当しうるため、優先的にパッチ適用すべき対象と考えられます。
Q. デフォルト設定のKubernetesも危険ですか? Ars Technicaによれば、Wizの研究者は、デフォルトのセキュリティ設定が有効な強化されたコンテナ環境(Kubernetesなど)では、エクスプロイトがコンテナを脱出する可能性は低いとの見解を示していると報じられています。ただし仮想マシンや制限の緩い環境では引き続き大きなリスクがあると考えられます。
