
AIを使ってコードを解析するサービス「Xint Code」を提供するXintが、Linuxカーネルの暗号化関連機能において、一般ユーザーからroot権限を取得できるローカル権限昇格の脆弱(ぜいじゃく)性「Copy Fail」を見つけたと発表しました。
Linuxで一般ユーザーがroot権限を取得できる脆弱性「Copy Fail」が発見される、2017年以降の多数のディストリビューションに影響 - GIGAZINE
Copy FailのCVE番号はCVE-2026-31431で、Xintによると2017年以降に出荷された主要Linuxディストリビューションの多くが影響を受ける可能性があるとのこと。Linuxカーネル側のCVE管理主体であるkernel.orgは、Copy FailのCVSS v3.1基本値を7.8の「HIGH」と評価しています。
Linuxで一般ユーザーがroot権限を取得できる脆弱性「Copy Fail」が発見される、2017年以降の多数のディストリビューションに影響 - GIGAZINE
一方、CVSS評価がHIGHにとどまった理由として、Copy Failはインターネット越しにサーバーへ直接侵入できるリモートコード実行の脆弱性ではないことが挙げられます。
Linuxで一般ユーザーがroot権限を取得できる脆弱性「Copy Fail」が発見される、2017年以降の多数のディストリビューションに影響 - GIGAZINE
攻撃者は対象システム上で一般ユーザーとしてコードを実行する必要があり、問題になりやすい環境として、複数ユーザーが同じLinuxカーネルを共有する開発サーバー、ビルドサーバー、CIランナー、Kubernetesクラスタ、ユーザーがコードを持ち込めるSaaSやサンドボックス環境などがあるとのこと。
Linuxで一般ユーザーがroot権限を取得できる脆弱性「Copy Fail」が発見される、2017年以降の多数のディストリビューションに影響 - GIGAZINE
Copy Failが発生した原因は、Linuxカーネルの暗号化機能をユーザー空間から利用する「AF_ALG」、ファイルの内容をコピーせずに受け渡す「splice()」、ファイル内容をメモリ上に保持する「ページキャッシュ」、認証付き暗号(AEAD)のラッパーである「authencesn」の処理が組み合わさったことにあると述べられています。
Linuxで一般ユーザーがroot権限を取得できる脆弱性「Copy Fail」が発見される、2017年以降の多数のディストリビューションに影響 - GIGAZINE
通常、ファイルを改ざんするにはファイルシステムの書き込み経路を通る必要があります。しかしCopy Failではディスク上のファイルではなく、メモリ上のページキャッシュに対して制御された4バイトの書き込みが発生します。ディスク上のファイルそのものは変化しないため、ファイルのチェックサムを比較しても改ざんの検出は難しいですが、一方で「read()」「mmap()」「execve()」などの処理ではメモリ上のページキャッシュが使われることがあり、ページキャッシュ上の内容が書き換えられると書き換えられた内容が読み込みや実行に使われてしまいます。
Linuxで一般ユーザーがroot権限を取得できる脆弱性「Copy Fail」が発見される、2017年以降の多数のディストリビューションに影響 - GIGAZINE
Copy Failはコンテナ環境でも深刻です。ページキャッシュはホスト全体で共有されるため、コンテナ内のプロセスからホスト上のページキャッシュに影響を与える可能性があります。XintはCopy Failを、単なるローカル権限昇格ではなく「コンテナエスケープの原始的な構成要素であり、Kubernetesノード侵害につながるベクトル」と説明しました。
Linuxで一般ユーザーがroot権限を取得できる脆弱性「Copy Fail」が発見される、2017年以降の多数のディストリビューションに影響 - GIGAZINE
Copy Failへの対策は「ディストリビューションが提供する修正済みカーネルへ更新すること」とのこと。修正されたカーネルでは、AF_ALG AEADの処理について入力と出力を別々のscatterlistで扱うout-of-placeの形へ戻されています。Xintは、修正済みカーネルへの更新を最優先の対策として挙げており、すぐに更新できない場合の暫定対策として、algif_aeadモジュールの無効化やseccompによるAF_ALGソケット作成のブロックを推奨しています。
Linuxで一般ユーザーがroot権限を取得できる脆弱性「Copy Fail」が発見される、2017年以降の多数のディストリビューションに影響 - GIGAZINE
⇧ う~む...
対策を実施した際の「影響範囲」が気になりますな...
「コンテナ仮想化」環境でも深刻な影響があるというのがエグい...
Google FontsのEarly Accessの扱いが謎過ぎる...
本ブログは、「はてなブログ」の「テーマ」を非公式のものに切り替えているのだが、「テーマ」が「メンテナンス」されていないのか、「Google Fonts」の読み込みでエラーが出ますと。
⇧ 上記の「テーマ」を利用しているのだが、
⇧ 上記の中で、
@charset "utf-8"; @import "https://fonts.googleapis.com/css?family=Roboto"; @import "https://fonts.googleapis.com/earlyaccess/notosansjapanese.css";
⇧「Google Fonts」を読み込んでいるのだが、「Google Chrome」の「Developer Tool」の「コンソール」で確認したところ「エラー」が出ていた。
ちなみに、「はてなブログ」の「プレビュー表示」だと正確な情報が取得できないのが辛いところ...
By the way、
インターネット関連事業を手掛けるはてな(京都市中京区)は4月24日、不正な送金指示によって約11億円の資金が銀行口座から流出したと公表した。第三者から虚偽の送金指示があったという。
4月21日に取引先銀行から不審な送金が行われていると連絡があり、確認すると4月20日と21日にある従業員のアカウントから銀行預金を外部の口座へ送金していた。その従業員に確認したところ、悪意ある第三者から虚偽の送金指示があったことが分かった。
ブログサービスなどを運営するはてな(京都市中京区/東証グロース)の株価が4月27日、値幅制限の下限(ストップ安)水準の881円で売り気配のまま推移し、終日値が付かなかった。同社が前週末に発表した、不正な送金指示による最大約11億円の資金流出事案が嫌気された。
同社の2026年7月期通期業績予想は、売上高38億5900万円、営業利益1億3600万円。最大被害額は、通期営業利益予想の約8倍に相当する規模だ。
同社は手元の運転資金について「十分な流動性を確保しており、事業運営や資金繰りに支障はない」と説明。業績への影響は「精査中」としている。
不正送金による資金流出事案を受け、4月27日に終日値が付かなかったはてな(東証グロース)の株価が、28日の取引で2日ぶりに売買が成立した。
寄り付き直後に850円まで下落し年初来安値を更新したが、その後は買い戻しが入り、午前の取引を946円で終えた。出来高は77万6700株と活況だった。
⇧ なかなかに衝撃...
どこまで対応できるかは分からないのだが、
フールプルーフ (英: fool proof) とは、安全工学における用語のひとつで、工業製品やシステムを設計する際、誤操作や誤設定などの間違った使い方をしても、少なくとも使用者や周囲にとって危険な動作をしないように、あるいはそもそも間違った使い方ができないように配慮する設計手法のこと。
英語では「壊したり間違えたりすることなく、誰でも簡単に使える」という意味を持つ、idiot-proofという言葉が使われることもある。またフールプルーフと同じ概念として、日本語のポカヨケを直訳したpoka-yokeが用いられることもある。
⇧ 上記のような「仕組化」を導入して、「従業員」の「業務」における「精神的負担」を軽減する取り組みが必要ですな...
話を元に戻すと、一応、
⇧ 上記の公式の「ブログ」を確認するも、「Early Access」の「Fonts」についての扱いが記載されていないのよ...
「ChatGPT」氏に質問してみたところ、以下のような回答が返ってきた。
結論から言うと、Google Fontsの「Early Access」は明確に“ある時点で廃止された単一イベント”ではなく、段階的に統合・終了したレガシー領域です。
ただし、一次情報ベースで「いつ・どう扱いが変わったか」はかなり正確に整理できます。
🧭 公式に確認できる事実(一次情報ベース)
✅ ① Early Accessは「正式APIではない実験枠」
Google Fontsはもともと3系統でした:
- ① 通常の公開フォント
- ② Early Access(実験・開発中フォント)
- ③ サードパーティ提供フォント
👉 Early Accessは公式に「experimental fonts」として扱われていました
✅ ② 2019〜2021にCSS2 APIへ統合(実質転換点)
Google Fonts公式ドキュメント:
“Google Fonts has moved to the new CSS2 API…”
ここで重要なのは👇
- 新API(css2)が正式軸
- variable fonts対応
- 古いAPI(earlyaccess含む)は非推奨へ
✅ ③ Early AccessはCSS2に含まれない=実質終了
CSS2 API仕様では:
- https://fonts.googleapis.com/css2 のみが現行ルート
Early Accessはここに存在しないため
👉 新体系から自然消滅(削除対象)
✅ ④ Google公式の立場(重要)
Google Fonts FAQでは:
- フォントはすべて無料・オープンソース
- 配信はCDN経由
- 使用方法はCSSリンク方式のみ
👉 Early Accessのような「別配信系統」は前提にされていない
🧠 重要な理解(ここが本質)
❗ Early Accessは「廃止日が発表された機能」ではない
よくある誤解👇
❌「この日に廃止された」
実際👇
⭕ 「新APIに吸収されて自然に消えたレガシー機能」
📉 実務的なタイムライン
| 年 | 状態 |
|---|---|
| 2010〜2015 | Early Access存在(実験枠) |
| 2016 | Google Fonts再設計 |
| 2019 | CSS2 API登場 |
| 2020〜2021 | CSS2移行が本格化 |
| 現在 | Early Accessは事実上非推奨・利用不可 |
💡 まとめ(重要)
- Early Accessは「正式廃止日がある機能」ではない
- 2019〜2021のCSS2移行で自然消滅
- 現在は完全にレガシー扱い
- 公式的には存在しない前提で設計されている
とりあえず、「Early Access」のような試験的なものは、本番リリースで利用しないで欲しいお気持ち...
公式の「ドキュメント」で一言、
『試験的な機能であるため、将来、廃止される可能性があります。』
のような注意喚起しては欲しいよね...
毎度モヤモヤ感が半端ない…
今回はこのへんで。