ビジネス ZDNet AI 2026-05-12
#amazon#google

Linuxカーネル脆弱性Dirty Fragが発覚、修正難しく長期戦の様相

Linuxカーネルに新たな深刻な脆弱性「Dirty Frag」が見つかり、セキュリティ担当者らが対応に追われている。この欠陥はカーネルのメモリ管理機能に潜み、攻撃者にシステム権限の昇格を許す恐れがある。影響は広範なLinuxディストリビューションとクラウド環境に及び、抜本的な修正パッチの提供には至っていない。

断片化パケット処理の欠陥が権限昇格を誘発

Dirty Fragは、ネットワークパケットの断片化と再構築を担うカーネルコードに存在するメモリ破損バグだ。セキュリティ研究者の報告によれば、細工したパケット断片を大量に送信することで、カーネル内のメモリ領域を不正に上書きできる。結果として、一般ユーザー権限しか持たない攻撃者がroot権限を奪取し、システムを完全に掌握する危険性が生じる。

この脆弱性の識別番号はCVE-2025-31947として登録され、CVSSスコアは最高値の10.0に近い9.8を記録した。悪用の難易度が低く、リモートからの攻撃が可能である点が評価を厳しくしている。特に問題視されるのは、実証コードが既に公開され、実際の攻撃が観測され始めていることだ。攻撃者は認証を必要とせず、標的のネットワークに到達可能であれば誰でもシステム侵害を試みることができる。

広範なカーネルバージョンが影響対象に

影響範囲は極めて広い。Linuxカーネル5.10以降の多数のバージョンが脆弱であり、Red Hat Enterprise Linux、Ubuntu、Debian、SUSE Linux Enterprise Serverなど、エンタープライズ向け主要ディストリビューションのほとんどが対象となる。クラウド事業者の基盤でも広く利用されており、Amazon Web ServicesやGoogle Cloudの仮想マシンインスタンスも影響を受ける。

Linux Foundationの発表では、全Linuxサーバーの約75%が潜在的なリスクに晒されていると推計される。日本国内でも、官公庁や金融機関の基幹系システムでLinuxが多用されており、影響は避けられない。実際、国内SIerの1社はクライアントへの注意喚起を開始し、パッチの準備状況に関する情報収集を急いでいると表明した。

根本修正が事実上不可能な設計課題

Dirty Fragの最大の脅威は、その修正の困難さにある。このバグはネットワークスタックのパフォーマンス最適化と深く結びついており、単純なコード変更では解決しない。根本的な対策にはメモリ管理機構の大幅な再設計が必要で、カーネルメンテナらは現時点で、完全な修正パッチのリリースに数カ月を要する可能性があるとみている。

暫定策として、ネットワークの断片化処理を制限するカーネルパラメータの変更が推奨されるが、これによりネットワーク性能が最大30%低下するというベンチマーク結果も報告されている。システムの安全性とスループットのトレードオフを迫られる企業は多く、Linuxディストリビューターは、根本パッチが完成するまでの間、性能低下を受け入れるか、あるいは別の緩和策を講じるかの難しい判断を強いられている。

緊急回避策とその代償

即時の防衛策として、各セキュリティ機関は不要なサービスの停止とファイアウォールによる断片化パケットの遮断を呼びかけている。具体的には、iptablesを用いて不正なフラグメントオフセットを持つパケットを破棄するルールの追加が有効とされる。また、SELinuxやAppArmorといった強制アクセス制御を厳格化し、仮に権限昇格に成功されても被害範囲を限定する多層防御の重要性が高まっている。

しかし、これらの緩和策は本質的な解決にはならない。攻撃手法の進化に伴い、回避される可能性が常に存在する。この状況下で、情報システム部門は「修正がない」という前提で防御計画を再構築する必要に迫られている。

クラウド事業者と国内SIerの動き

AWSやGoogle Cloudは顧客向けにセキュリティ速報を発行し、仮想ネットワーク基盤レベルでの防御策を展開し始めた。両社とも自社サービスのファブリックに検査機能を追加し、悪意ある断片化パケットをホストへ到達する前に破棄する対策を講じている。この措置により、利用者が即座にインスタンスの設定変更を行わなくても一定の保護が提供される。

日本市場では、さくらインターネットやGMOインターネットグループなどのホスティング事業者が情報開示を進めているほか、日立製作所やNECといったベンダーが、自社の統合監視製品にDirty Fragの暫定的な検知シグネチャを追加した。国内企業からは、長期戦を見据えたセキュリティ監視の外部委託に関する引き合いが急増しているという。

長期化が必至のパッチ開発競争

Linuxカーネルコミュニティは現在、性能劣化を最小限に抑えつつ根本問題に対処する複数の設計案を検討中だ。候補の1つは、ネットワークスタックのメモリアロケータを分離し、断片化処理に特化した安全機構を新設する手法である。だが、この変更はカーネル全体の安定性検証に膨大な時間を要するため、主要ディストリビューションが正式パッチとして配布するのは早くとも2025年後半になると予測されている。

セキュリティアナリストは、この脆弱性の寿命が極めて長くなる可能性を指摘し、組織に対して短期的な緩和策と長期的なシステム刷新計画の両輪での対応を求めている。Linuxが支える社会基盤の安全を確保するための技術的挑戦は、まだ始まったばかりだ。

元記事を読む(ZDNet AI)→