セキュリティ専門メディアArs Technicaが2026年5月11日に報じたところによると、Linuxに「Dirty Frag」と呼ばれる深刻な権限昇格脆弱性が発覚した。1週間前に明らかになった「Copy Fail」に続く2週連続の深刻な脅威であり、すでにPoC(概念実証)コードが公開され、Microsoftも実環境での悪用の兆候を確認・公表している。

なぜ「Dirty Frag」が危険なのか

Dirty Fragは、CVE-2026-43284とCVE-2026-43500の2つの脆弱性を連鎖させる攻撃手法だ。低権限ユーザーがLinuxカーネルのpage cache処理の不備を突くことで、root権限を取得できる。クラウドや共有ホスティング、コンテナ環境のようなマルチテナント構成での悪用が特に危険とされる。

特に深刻なのは、このエクスプロイトが「決定論的(deterministic)」である点だ。ほぼすべてのLinuxディストリビューションで同一の挙動を示し、かつシステムクラッシュを引き起こさない。Ars Technicaによると、セキュリティ企業Automoxはこの特性を「実行が極めてステルシー」と評価している。

技術的な仕組み——Dirty Pipeと同じ系譜

Automoxの研究者らは次のように解説している。Dirty Fragはカーネルのstruct sk_buff構造体のfragメンバーを標的とし、splice()システムコールを使って読み取り専用のpage cacheページ(/etc/passwd/usr/bin/suなど)への参照を埋め込む。その後、受信側のカーネルコードが暗号化処理をそのページ上で直接実行することでpage cacheが改ざんされ、攻撃者は読み取り権限しか持っていないにもかかわらず、以降のファイル読み取りが汚染されたデータを返す状態になる。

CVE-2026-43284はesp4・esp6プロセスに、CVE-2026-43500はrxrpcに存在する。これは2022年のDirty Pipe、そして直近のCopy Failと同じバグファミリーに属する脆弱性だ。

海外セキュリティ企業の評価

Aviatrixの研究者らはArs Technicaの報道の中で、「Dirty Fragはパッチ未適用のカーネル上で認証なしにroot権限を取得できる、即時かつ重大な脅威だ」と評価。PoCが公開されており、限定的とはいえ実環境での悪用も観測されているとして、迅速なパッチ適用と緩和策の実施を強く促している。

Microsoftも、ハッカーがDirty Fragを実験的に悪用している兆候を確認したと発表した。

発見者の研究者Hyunwoo Kim氏が先週末に脆弱性を開示した直後、第三者によって詳細が漏洩。Kim氏はゼロデイ化を受ける形でPoC(概念実証)のソースコードを公開した。Linuxカーネル本体にはパッチが取り込まれているものの、Ars Technica記事の公開時点でパッチを提供していたディストリビューションはDebian・AlmaLinux・Fedoraに限られていた。

日本市場での注目点

国内でもLinuxサーバーを運用する企業・クラウド事業者は多く、特にVPS・コンテナ・共有ホスティングなどのマルチテナント環境を提供している場合は対応優先度を最高に設定すべき状況だ。

現時点でパッチが確認されているのはDebian・AlmaLinux・Fedoraのみ。Red Hat Enterprise Linux(RHEL)、Ubuntu、SUSEなどを利用している組織は、各ベンダーの公式セキュリティアドバイザリを随時確認してほしい。

Azure上でLinux VMを運用している場合は、MicrosoftがDirty Fragの悪用兆候を公表している経緯もあり、Microsoft Security Response Center(MSRC)の情報も合わせて追っておくとよい。

筆者の見解

2週間で2本の深刻なroot権限昇格脆弱性が立て続けに発覚したことは、Linuxカーネルのpage cache実装における設計上の課題を改めて浮き彫りにしている。Dirty Pipe(2022年)、Copy Fail、そしてDirty Fragと、同一系譜の脆弱性が繰り返し現れている以上、単なる「運の悪い一致」では済まないだろう。

「PoC公開=即時脅威」という状況が常態化しつつある今、定期メンテナンスウィンドウを待つ従来の運用フローでは対応が間に合わない。パッチ管理の自動化と適用スピードの向上が、インフラ運用の競争力を左右する時代に入っていると改めて感じさせられる事例だ。自動パッチ適用の仕組みをまだ持っていない組織にとっては、今回の一件を見直しの契機にしてほしい。

出典: この記事は Linux bitten by second severe vulnerability in as many weeks の内容をもとに、筆者の見解を加えて独自に執筆したものです。