【セキュリティニュース】2026年5月8日号|Linuxカーネル「Copy Fail」CVE-2026-31431が732バイトでroot奪取・村田製作所が最大8.8万件流出のおそれ・オーミケンシがランサム被害で決算発表延期

GW明けの本日、押さえるべき重要ニュースを3本まとめます。第一に、Linuxカーネルの権限昇格脆弱性CVE-2026-31431(通称Copy Fail)が4月29日に公開され、IPAが5月1日に注意喚起を出しました。732バイトのスクリプトで一般ユーザーがroot権限を取得可能で、2017年以降のほぼ全カーネルが対象です。第二に、村田製作所が4月27日に第三報を公表し、最大約8.8万件の個人情報が流出した可能性があると発表しました。第三に、繊維メーカーのオーミケンシがランサムウェア攻撃で基幹システムが停止し、決算発表を延期しています。サーバー、社内システム、業務継続の3点を、今週中に必ず点検してください。

NEWS 01
IPA・Theori・Microsoft Security | 2026年4月29日公開・5月1日IPA注意喚起

Linuxカーネル「Copy Fail」CVE-2026-31431、732バイトのコードでrootが取れる権限昇格脆弱性、2017年以降の全主要ディストリ対象

セキュリティ企業Theoriが2026年4月29日に公開したLinuxカーネルのローカル権限昇格脆弱性CVE-2026-31431(通称Copy Fail)に対して、IPAは5月1日に注意喚起を発出しました。Linuxカーネルの暗号サブシステム(AF_ALGの一部であるalgif_aeadモジュール)に存在する論理的欠陥で、authencesnテンプレート内のメモリ処理ミスを悪用して、一般ユーザーが任意の読み取り可能なファイルのページキャッシュへ4バイトの書き込みを実行できる、というものです。

影響範囲は、2017年から2026年現在までに公開されたLinuxカーネル4.14〜6.19.12のほぼ全バージョンに及びます。脆弱性の発見者であるTheoriの実証コードはわずか732バイトのPythonスクリプトで、一般ユーザー権限のシェルからsetuidバイナリのページキャッシュ上のコードを書き換え、その後にroot権限プロセスがそのバイナリを読み込んだタイミングでroot権限を奪取します。リモートからの直接悪用は不可で、ログイン済みのローカルユーザーが必要ですが、PoCコードが公開されているため即時対応が必要です。

主要ディストリビューションの修正状況は次の通りです。Ubuntu、Debian、Red Hat Enterprise Linux、AlmaLinux、Rocky Linux、CloudLinux、Fedora、Amazon Linux、Arch Linux、SUSEなどが5月1日前後にパッチを公開しました。CloudLinuxはKernelCareによる再起動不要のライブパッチも提供しています。アップストリームでの修正はメインラインコミットa664bf3d603dで、2017年に導入された最適化が原因のため、当該変更を巻き戻す形で対応されています。

▌中小企業への影響

自社で運用しているLinuxサーバー(Webサーバー、社内ファイルサーバー、データベースサーバー、コンテナホスト)は全て対象になります。攻撃者は一度SSHやWebアプリの脆弱性で一般ユーザー権限を取得すれば、Copy Failで即座に管理者権限へ昇格でき、サーバー上の全情報の窃取・改ざん・暗号化が可能になります。共用ホスティングやVPSを利用している場合は、他テナントによる横方向の侵害リスクもあります。

▌推奨対応(今週中に着手)
  • 自社が運用するLinuxサーバー、コンテナイメージ、開発端末のカーネルバージョンをuname -rで確認し、各ディストリのセキュリティアップデートを適用する
  • パッケージ管理(apt / yum / dnf / zypper)でカーネルパッケージを最新化し、再起動を計画する。再起動前提で運用が止まる場合は計画停止枠を確保する
  • 即時再起動が困難な環境では、grubbyでalgif_aeadのinitcallをブラックリスト化することでAF_ALG経由の攻撃面を遮断できる(暫定対応として有効)
  • クラウドサービスを利用している場合(AWS、GCP、Azure、さくらのクラウド等)、各社の対応状況を公式ブログで確認する
  • レンタルサーバー・マネージドサービスを利用している場合、提供元事業者へ「CVE-2026-31431の対応状況」「適用予定日」を文書で確認する

NEWS 02
村田製作所(東証プライム) | 2026年4月27日第三報

村田製作所、不正アクセスで最大約8.8万件の個人情報が流出のおそれ、顧客・取引先1.5万件と従業員7.3万件

電子部品大手の村田製作所は2026年4月27日、同社のIT環境への不正アクセスに関する第三報を公表しました。流出した可能性がある情報の規模が判明し、顧客・取引先など社外関係者の情報が約1万5千件、従業員に関する情報が約7万3千件、合計で最大約8万8千件が外部流出のおそれがあるとしています。流出情報には氏名、会社名、メールアドレスが含まれます。

村田製作所が不正アクセスを最初に把握したのは2026年2月28日で、3月1日から本格的な調査体制に移行、3月6日に第一報、4月6日に第二報を公表していました。今回の第三報で、調査の進展により流出規模が確定的になったとしています。クレジットカード情報や口座情報、機微性の高い個人情報は含まれていないとしていますが、ビジネスメール詐欺(BEC)や標的型フィッシングに悪用されるリスクは残ります。

本件は、最初の発覚から約2か月かけて流出規模が段階的に明らかになった事例として、調査・公表のタイムラインの参考になります。「初動公表」「中間公表」「確定報告」の三段階で情報を出していくスタイルで、被害規模の確定までに調査期間が必要であることを示しています。

▌中小企業への影響

村田製作所と取引のある企業(部品調達側、設計委託側、共同開発先など)は、自社の担当者氏名・連絡先が流出している可能性があります。流出した連絡先を悪用したスピアフィッシングメール、なりすましメール、偽の請求書送付などのBEC攻撃が短期間に発生する恐れがあります。中小企業側は受信メールの送信元・差出人・本文の整合性を厳重にチェックする運用が必要です。

▌推奨対応
  • 村田製作所と取引がある場合、社内の連絡担当者に対し「件名やドメインに違和感のあるメールを受信した場合は応答前に電話で確認する」というルールを通知する
  • 取引先の請求書受領プロセスにおいて、銀行口座の変更依頼メールは必ず電話・既知の窓口で確認する手順を入れる
  • 自社のメールセキュリティ製品で、なりすましメール(SPF・DKIM・DMARCの不一致)の検知ルールを再確認する
  • 自社が同様に侵害された場合のインシデント対応プロセス(初動 → 調査委託 → 段階的公表)を、村田製作所の事例を参考に文書化する
  • 個人情報保護委員会への報告期限(速報3〜5日以内、確報30日以内)を社内手順に明記する

NEWS 03
オーミケンシ(東証スタンダード) | 2026年4月13日適時開示・5月7日続報

繊維メーカー・オーミケンシ、ランサムウェア攻撃で基幹システム停止、5月13日予定の決算発表を延期

繊維メーカーのオーミケンシ(大阪市・東証スタンダード)は2026年4月13日、3月16日深夜に受けた外部の第三者による不正アクセスの影響で、5月13日に予定していた2026年3月期の決算発表を延期すると公表しました。同社は3月16日深夜に基幹システムやファイルサーバー上のファイルが暗号化される被害を受けており、ランサムウェア攻撃の可能性が高いとしています。

侵入経路はVPN経由の可能性が高く、一部のサーバから外部へのデータ送信も確認されています。サーバに保存されていた従業員情報の一部が漏えいした可能性があるものの、機微性の高い情報は含まれず、顧客の個人情報も含まれていないと公表しています。同社は外部専門家を交えたフォレンジック調査と並行してネットワークを社内・インターネット双方から切り離し、復旧作業を進めています。延期後の決算発表日はシステム復旧の進捗を踏まえて改めて決定するとしています。

本件は、サイバー攻撃が単なる「IT部門の問題」ではなく、決算発表など上場企業としての基本的な義務にまで影響する事例です。基幹システムが止まると、財務データの集計、監査対応、開示書類の作成すべてが滞ります。中小企業にとっても、受発注・請求・給与計算が止まる影響は深刻です。

▌中小企業への影響

VPN経由の侵入は、SSL-VPNの脆弱性、認証情報の窃取(フィッシング)、多要素認証の未導入、いずれかが起点になりがちです。基幹システムが暗号化されると、復旧期間中は受発注・出荷・請求・給与計算がすべて手作業に逆戻りします。バックアップが侵害されていれば、復旧自体が成立しない構造的リスクもあります。決算発表延期や納期遅延が顧客・取引先・株主への信用失墜につながる二次被害も無視できません。

▌推奨対応
  • 社内VPN(SSL-VPN・IPSec-VPN)のファームウェアを最新化し、過去の重大脆弱性(Fortinet・Citrix・Ivanti・Palo Alto等)に対するパッチ適用状況を再確認する
  • VPNアカウントの多要素認証(MFA)を全ユーザーに必須化する。SMS認証ではなく認証アプリまたはハードウェアトークンを推奨
  • 退職者・異動者・元委託先のVPNアカウントを棚卸しし、休眠アカウントを削除する
  • バックアップを「3-2-1ルール」(3コピー・2種類のメディア・1つはオフライン/オフサイト)で運用し、定期的にリストア試験を実施する
  • BCP(事業継続計画)に「基幹システムが2週間停止した場合の手作業フロー」を明記し、机上訓練を年1回実施する

5月8日〜15日に着手すべき確認項目

GW明け週末までに、中小企業の情報システム担当者がカバーすべき項目を整理しました。1項目あたり半日〜1日で実行可能です。

優先度 項目 確認内容
最優先 Linuxカーネルの更新 自社・委託先のLinuxサーバーのカーネルがCopy Fail(CVE-2026-31431)の修正版に更新済みかを確認し、計画再起動を実施する
最優先 VPN機器のパッチ適用 SSL-VPN・IPSec-VPN製品のファームウェアを最新化し、未適用の重大脆弱性がないか確認する。MFAを必須化する
取引先からのなりすましメール警戒 大手取引先(村田製作所のような企業)の侵害を起点とした標的型メールを社内に注意喚起する
バックアップのリストア試験 過去半年実施していない場合、業務影響の少ないシステムから順にバックアップからのリストア試験を計画する
休眠VPNアカウントの棚卸し 退職者・異動者・元委託先のVPNアカウントが残存していないか棚卸しし、不要分を削除する

編集部まとめ

今号の3本に共通するキーワードは「侵入後の権限昇格」「侵入後の影響範囲拡大」です。Copy Failはサーバーへ侵入された後の権限昇格を成立させ、村田製作所とオーミケンシは侵入後に被害が大規模化した事例です。境界防御だけでなく、侵入されたあとの「内部での横展開・昇格」をいかに止めるかが今週の論点です。

連休明けの今週、まずは(1)Linuxサーバーのカーネル更新、(2)VPN機器のパッチ適用とMFA必須化、(3)バックアップのリストア試験計画、の3点を進めてください。これらは全て、侵入されてから被害が拡大する経路を塞ぐ施策です。

参考情報

  • IPA「Linuxの脆弱性対策について(CVE-2026-31431、Copy Fail)」(2026年5月1日)
  • Theori / Microsoft Security Blog「CVE-2026-31431: Copy Fail vulnerability enables Linux root privilege escalation across cloud environments」(2026年5月1日)
  • Ubuntu Blog「Fixes available for CVE-2026-31431 (Copy Fail) Linux Kernel Local Privilege Escalation Vulnerability」
  • AlmaLinux Blog「Copy Fail (CVE-2026-31431) Patches Released」(2026年5月1日)
  • Unit 42「Copy Fail: What You Need to Know About the Most Severe Linux Threat in Years」
  • 村田製作所「当社のIT環境への不正アクセスに関するお知らせ(第三報)」(2026年4月27日)
  • 日本経済新聞「村田製作所、不正アクセスでデータ流出8.8万件の可能性 顧客情報も」(2026年4月)
  • ITmedia NEWS「ランサム攻撃で基幹システム停止、決算発表延期 繊維メーカー・オーミケンシ」(2026年4月14日)
  • ScanNetSecurity「オーミケンシへのサイバー攻撃、基幹システムの停止で決算手続きに遅延」(2026年5月7日)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です