Azureの上でLinuxワークロードを動かしているチームへの緊急情報だ。CVE-2026-43284が正式に公開された。Linuxカーネルのxfrm(トランスフォーム)サブシステムに存在するこの脆弱性は、IPsec ESPトンネルを使用しているAzureのマルチテナント環境において、暗号化されたはずのパケットが共有メモリバッファ経由で平文として読み取れる状態になり得るという、インパクトの大きい内容だ。該当する環境を運用しているなら、今日中に対応を始めてほしい。
この脆弱性の技術的な中身
Linuxカーネルのxfrm(IPsec Transformation)サブシステムは、IPsecによるパケットの暗号化・復号処理を担うコアコンポーネントだ。その中でもESP(Encapsulating Security Payload)は「データの機密性」を担保するプロトコルで、通信内容を暗号化してIPパケット全体をカプセル化する役割を持つ。
CVE-2026-43284は、このESP処理の過程でメモリバッファの扱いに問題があることに起因する。Azureのマルチテナント環境では、物理ホストを複数のVMが共有する構造になっているが、ESPパケットの処理中に、暗号化される前のデータ(平文)が特定の共有メモリ領域に一時的に残存する状態が作り出せてしまう。
本来であれば暗号化によって外部から読めないはずの通信内容が、共有メモリを通じて平文で見えてしまう可能性がある——これがこの脆弱性の本質だ。
影響を受けるのはどの環境か
影響を受ける可能性があるのは、以下の条件を満たすAzure環境だ:
- OSがLinux(WindowsVMは対象外)
- IPsec ESPトンネルを使用している(VPN接続、サービス間暗号化通信など)
- Azureのマルチテナント物理ホスト上で稼働している(一般的な仮想マシンはほぼ該当)
専有ホスト(Dedicated Host)で完全な物理分離をしている環境はリスクが異なる。ただし「うちはどうだろう」と考える前に、まずパッチを当てるのが最善だ。
実務への影響と即時対応ポイント
カーネルバージョンの確認と更新
まず稼働中のVMのカーネルバージョンを確認する:
出典: この記事は CVE-2026-43284: Patch the Linux Kernel xfrm ESP Bug in Microsoft Azure の内容をもとに、筆者の見解を加えて独自に執筆したものです。