【セキュリティニュース】2026年5月3日号|Linuxカーネル「Copy Fail」CVE-2026-31431が9年越しで露呈・IPAが緊急注意喚起/リコー製複合機Web Image Monitorにオープンリダイレクト脆弱性(JVN#65118274)/GW後半に急増するETC・航空会社装うフィッシング詐欺

【セキュリティニュース】2026年5月3日号|Linuxカーネル「Copy Fail」CVE-2026-31431が9年越しで露呈・IPAが緊急注意喚起/リコー製複合機Web Image Monitorにオープンリダイレクト脆弱性(JVN#65118274)/GW後半に急増するETC・航空会社装うフィッシング詐欺

ゴールデンウィーク後半に入った5月3日、企業のセキュリティ担当者・経営者が押さえておくべき動きが3件あります。第1にLinuxカーネルに9年間潜在していた権限昇格脆弱性「Copy Fail」(CVE-2026-31431、CVSS 7.8)が4月30日に公表され、IPAも5月1日に注意喚起を発出しました。検証コードは既に公開されており、サーバ・コンテナ環境で運用される全主要ディストリビューションが影響を受けます。第2にリコー製レーザープリンタ・複合機のWeb Image Monitorに新たなオープンリダイレクト脆弱性(JVN#65118274)が4月30日にJVNで公表されました。社内に必ず置かれているIoT機器が狙われる典型例です。第3に連休後半に入り、ETC利用照会・航空会社・宅配を装ったフィッシングSMS・メールが急増しています。出張・帰省・旅行で移動中のスマートフォン操作が攻撃者の付け入る隙となっており、業務メールアカウントへの被害波及が懸念されます。

NEWS 01
IPA/Microsoft Security Blog | 2026年4月30日公開・5月1日注意喚起

Linuxカーネル「Copy Fail」CVE-2026-31431が公表——9年放置のローカル権限昇格、検証コードも公開済み

Linuxカーネルの暗号サブシステムに、ローカル権限昇格を可能にする深刻な脆弱性「Copy Fail」(CVE-2026-31431、CVSS 7.8)が存在していたことが、2026年4月30日に公表されました。情報処理推進機構(IPA)は5月1日に注意喚起を発出し、検証コードが既に公開されていることから、各OSベンダーが提供するパッチを早急に適用するよう呼びかけています。

本脆弱性は、Linuxカーネルの暗号API(AF_ALG)を構成するalgif_aeadモジュールにおけるauthencesnテンプレートのロジック不具合に起因します。攻撃者は約700バイト程度の短いコードで、ログイン可能な一般ユーザー権限から管理者(root)権限を取得できます。Microsoft Securityの解析によれば、本脆弱性は2017年に当該コードが導入されて以来、9年間にわたって主要ディストリビューション(Ubuntu、Red Hat Enterprise Linux、Debian、Fedora、Amazon Linux、SUSE等)に潜在していました。

過去の有名なLinuxカーネル脆弱性(Dirty Cow、Dirty Pipe等)と異なり、Copy Failは競合状態(race condition)を要しない安定した攻撃が可能で、同一の検証コードがほぼ全ての対象ディストリビューションで動作する点が特徴です。リモートからの直接攻撃には使えませんが、Webサーバの脆弱性で一般ユーザー権限を取られた場合、SSHで制限付きアカウントを獲得した場合、CIランナー経由で悪意あるPRが実行された場合など、ローカル実行を伴う他の攻撃と組み合わせることで深刻な侵害につながります。クラウド・コンテナ・Kubernetes等のマルチテナント環境では、コンテナブレイクアウトや横方向の侵入を促す要因として特に危険です。

CVE-2026-31431(Copy Fail)の概要

項目 内容
公開日 2026年4月30日(IPA注意喚起 5月1日)
CVE番号 CVE-2026-31431(通称:Copy Fail)
CVSSスコア 7.8(High)
脆弱性の種類 ローカル権限昇格(LPE)
原因モジュール algif_aead(AF_ALGの暗号API、authencesnテンプレートのロジック不具合)
影響範囲 2017年以降にビルドされたほぼ全てのLinuxディストリビューション(Ubuntu、RHEL、Debian、Fedora、Amazon Linux、SUSE等)
攻撃の前提 ログイン可能な一般ユーザー権限が必要(リモート単独悪用は不可)
検証コード 研究者により公開済み(約732バイト)
恒久対策 各OSベンダー提供パッチ適用+カーネル再起動
暫定対策(ワークアラウンド) algif_aeadカーネルモジュールの無効化(業務影響を確認の上)
▌中小企業への影響

中小企業でもLinuxサーバはWebサイト・基幹システム・社内ファイルサーバ・VPNサーバ・監視機器など幅広く使われています。本脆弱性は単独ではリモート侵入できないものの、攻撃者が侵入の足がかりを得た後、通常は到達できない管理者権限まで一気に到達できる点で危険性が高いです。特にAWS・Azure・GCP上のIaaS環境、Dockerコンテナ・Kubernetesクラスタを利用しているケースでは、テナント間の隔離が破られる可能性があります。社内サーバ管理者が自社運用しているケースでは、連休明けの月例パッチ適用日を待たず、検出され次第緊急パッチを適用すべきレベルの脆弱性です。

▌推奨対応
  • 自社で運用するLinuxサーバ・仮想マシン・コンテナホストのディストリビューションとカーネルバージョンをリスト化する
  • 各OSベンダー(Ubuntu、Red Hat、Amazon、SUSE等)からCVE-2026-31431対応カーネルパッケージが配布されているか確認する
  • パッチ適用後は必ずサーバを再起動して新しいカーネルを反映させる(再起動なしでは無効)
  • パッチ適用が即時困難な場合は、algif_aeadモジュールの無効化を暫定対応として検討する(業務影響を事前確認)
  • クラウドベンダー(AWS、Azure、GCP)が提供するマネージドOS・コンテナサービスの対応状況を公式アナウンスで確認する
  • 外部公開されているWebサーバ・SSH踏み台サーバについて、ログイン可能な一般ユーザーアカウントの棚卸しを実施する
  • 連休明けに脆弱性スキャナ(OpenVAS、Nessus等)でCVE-2026-31431の検出有無を再確認する

NEWS 02
JPCERT/CC・JVN | 2026年4月30日公表

リコー製レーザープリンタ・複合機のWeb Image Monitorにオープンリダイレクトの脆弱性——フィッシング誘導の踏み台になるおそれ

JPCERTコーディネーションセンターおよびJVN(Japan Vulnerability Notes)は2026年4月30日、リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)に関するオープンリダイレクトの脆弱性(JVN#65118274)を公表しました。Web Image Monitorは複合機の管理画面として広く使われており、社内ネットワーク上で動作する複合機経由で攻撃の踏み台にされる点が中小企業にとって見過ごせません。

本件のオープンリダイレクト脆弱性は、細工されたURLを利用者がクリックすることで任意のWebサイトへリダイレクトされる脆弱性です。攻撃者が「社内複合機の管理画面URLに見える」リンクをメール等で送付した場合、利用者は信頼してクリックしてしまい、結果としてフィッシングサイトに誘導されてカード情報・社内アカウントを盗まれるおそれがあります。複合機ベンダーが発行する正規のホスト名を利用したURLは社内では信頼されやすく、社内向けフィッシングの素材として転用されるのが懸念点です。

過去に公表されたリコー製Web Image Monitorの脆弱性として、反射型クロスサイトスクリプティング(JVN#20474768)やスタックベースのバッファオーバーフロー(JVN#87770340、CVE-2024-47939、CVSS 9.8)も知られています。とりわけ後者は遠隔から任意のコード実行が可能な深刻な区分で、対策版ファームウェアの適用状況を社内で改めて棚卸しすべきです。社内ネットワークに設置された複合機のファームウェアは「導入時から一度も更新されていない」状態が一般的であり、攻撃者から見れば「業務に必須で再起動を伴う更新がしにくいIoT機器」として狙いやすい標的です。

リコー製Web Image Monitor 関連脆弱性の概要

JVN番号 脆弱性の種類 公表時期・備考
JVN#65118274 オープンリダイレクト 2026年4月30日公表(本記事の主題、フィッシング誘導の踏み台)
JVN#20474768 反射型クロスサイトスクリプティング(XSS) 過去に公表(CVSS基本値5.1付近)。対策版適用状況の確認推奨
JVN#87770340 スタックベースのバッファオーバーフロー 2024年に公表(CVE-2024-47939、CVSS 9.8)。任意コード実行・DoSのおそれ。対策版未適用機は最優先で対応
影響対象 リコー製Web Image Monitorを実装する複数のレーザープリンタおよび複合機(MFP)
対策 リコー社が提供する対策版ファームウェアの適用(対象機種はJVN各ページ参照)
▌中小企業への影響

複合機は中小企業でも1〜数台が必ず社内ネットワークに接続されており、印刷ジョブログ・スキャン文書・FAX受信文書といった機密性の高いデータを扱うIoT機器です。Web Image Monitorに到達できる利用者は社内LANから誰でもアクセス可能なケースが多く、社内に侵入された攻撃者が踏み台や情報源として複合機を使うシナリオが現実的に想定されます。とりわけスタックベースのバッファオーバーフロー(JVN#87770340)は不正コード実行に発展する可能性があり、複合機がボットネットの一部に組み込まれる事例も過去に観測されています。複合機のリースを利用している企業の場合、リース会社(販売店)に対策版ファームウェア適用の依頼が必要です。

▌推奨対応
  • 社内に設置されているリコー製複合機・レーザープリンタの機種名・シリアル番号・設置場所をリスト化する
  • JVN#65118274・JVN#20474768・JVN#87770340の3件で対象機種に該当するか、JVNの個別ページで確認する
  • 該当する場合は、リコー社が提供する対策版ファームウェアの適用をリース会社・販売代理店に依頼する
  • 複合機のWeb Image Monitor管理画面に外部からアクセスできないか(ファイアウォール設定・公開ポート)を確認する
  • 複合機の管理者パスワードが工場出荷時の初期値のままになっていないか棚卸しする
  • 連休明けの「システム点検日」を社内で設定し、複合機・NAS・ルータ等のIoT機器のファームウェア更新を業務として組み込む
  • 従業員に対して「複合機の管理画面URLを開くメール」「複合機からと称するメール添付」への警戒を周知する

NEWS 03
フィッシング対策協議会・国民生活センター・各社注意喚起 | 2026年4月〜5月

GW後半に急増するETC・航空会社・宅配装うフィッシング詐欺——業務メールアカウント被害への波及に警戒

ゴールデンウィーク後半に入り、ETC利用照会・航空会社の予約確認・宅配の不在通知などを装ったフィッシングSMS・メールが急増しています。フィッシング対策協議会・国民生活センター・各クレジットカード会社・大手ECサイトなどが連休中の注意喚起を発出しており、移動中のスマートフォン操作で偽サイトへ誘導されるケースが目立ちます。

季節型フィッシングの典型として、連休中は「ETCの利用照会」「航空会社のサービス解約・料金未納通知」「Amazonや楽天の不在連絡」「クレジットカードの利用確認」といった件名のメッセージが使われます。SMSはスマートフォンに直接届くため、メールよりもクリック率が高く、移動中・運転前後・空港の混雑時など注意散漫な状況で被害が発生しやすい特徴があります。なりすまされた偽サイトに認証情報を入力すると、その情報が即時に攻撃者の自動化ツールに送られ、本物のサイトへの不正ログインに使われます。

中小企業の経営者・担当者にとっては、個人としての金銭被害だけでなく、業務メールアカウントの乗っ取りや、業務スマートフォンに保存された取引先連絡先・社内チャット情報の漏えいに発展する点が深刻です。特に経営者本人のスマホは、銀行アプリ・クレジットカード・SaaSの管理者アカウントが集中しており、1台の侵害で会社全体の被害につながり得ます。連休中の判断ミスを防ぐため、社内全員に対する事前周知と、被害発生時の最小化手順の整備が必要です。

GW中に増加する代表的なフィッシング手口

装う対象 典型的な件名・本文 誘導先
ETC利用照会サービス 「未払い料金があります」「アカウントが停止されました」 クレジットカード情報入力フォーム
航空会社(JAL/ANA等) 「予約確認」「マイル失効通知」「サービス解約のお知らせ」 会員ID・パスワード入力フォーム
宅配(ヤマト・佐川・郵便) 「不在のため持ち帰りました」「配送先住所の確認」 個人情報・カード情報入力フォーム
クレジットカード会社 「不正利用の疑いがあります」「本人確認が必要です」 カード番号・暗証番号・SMS認証コード入力フォーム
EC(Amazon・楽天等) 「注文確認」「アカウント停止」「ポイント失効通知」 ログイン情報入力フォーム(多要素認証コードも要求)
銀行・モバイルキャリア 「セキュリティ確認」「料金未納通知」 ID・暗証番号・ワンタイムパスワード入力
▌中小企業への影響

連休中のフィッシング被害は「個人の問題」では済みません。経営者・担当者の私用スマホには、業務メール(Microsoft 365・Google Workspace)・社内チャット(Slack・Teams)・各種SaaS管理画面(会計・勤怠・CRM)のアプリが入っているのが普通で、1つでも侵害されれば社内文書の窃取や取引先へのなりすましメール送信に発展します。連休明けに「会社の請求書送付メールアドレスから不審なファイルが送られた」と取引先から連絡を受ける、というのが典型的な被害発覚パターンです。家族・社員の個人被害が会社のレピュテーション被害につながる構造を経営層は認識しておくべきです。

▌推奨対応
  • 連休後半に入る前に、全従業員へ「ETC・航空会社・宅配を装うフィッシング増加中」のSMS・メールでの注意喚起を出す
  • SMS・メール内のリンクは原則クリックせず、公式アプリ・公式サイトをブックマークから開く運用を徹底する
  • 業務利用するMicrosoft 365・Google Workspace等の多要素認証(MFA)が全アカウントで有効化されているか連休前に再確認する
  • 業務スマートフォンの紛失・盗難時のリモートワイプ手順を経営者本人が確認しておく
  • SaaS管理者アカウントは経営者本人ではなく専任のIT担当アカウントから利用し、管理者用MFAを必ず有効化する
  • 連休明けに各SaaSのログイン履歴・不審な国・時間帯からのアクセスを確認する手順を担当者に依頼しておく
  • 万一被害が疑われた場合の連絡先(クレジットカード会社・銀行・社内情報セキュリティ責任者)を事前にスマホのメモに記載しておく

編集部まとめ

本日取り上げた3件は、Linuxカーネルの根本的な脆弱性(Copy Fail)、社内に必ずあるIoT機器(複合機)の脆弱性、移動中の人を狙うフィッシング詐欺と、攻撃面はそれぞれ異なります。共通する教訓は、連休明けの月曜日に何もせずに業務を再開すると、連休中の攻撃を受けたまま運用を続けてしまうリスクがあるということです。

連休中に時間が取れる経営者は、自社のLinuxサーバとネットワーク機器のパッチ適用状況リスト、社内複合機の機種一覧、SaaS管理者アカウントのMFA有効化状況の3点を確認しておくと、連休明けの初動が大幅に楽になります。次号は5月4日号で、引き続き連休中の動向を追います。

参考情報

  • IPA 独立行政法人情報処理推進機構「Linuxの脆弱性対策について(CVE-2026-31431、Copy Fail)」(2026年5月1日)
  • Microsoft Security Blog「CVE-2026-31431: Copy Fail vulnerability enables Linux root privilege escalation across cloud environments」(2026年5月1日)
  • Help Net Security「Nine-year-old Linux kernel flaw enables reliable local privilege escalation (CVE-2026-31431)」(2026年4月30日)
  • Tenable「Copy Fail (CVE-2026-31431): Linux Kernel Privilege Escalation FAQ」(2026年5月)
  • Sysdig「CVE-2026-31431: "Copy Fail" Linux kernel flaw lets local users gain root in seconds」(2026年5月)
  • Ubuntu Blog「Fixes available for CVE-2026-31431 (Copy Fail) Linux Kernel Local Privilege Escalation Vulnerability」(2026年5月)
  • JVN#65118274「リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)におけるオープンリダイレクトの脆弱性」(2026年4月30日公表)
  • JVN#20474768「リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)における反射型クロスサイトスクリプティングの脆弱性」(2026年4月30日公表)
  • JVN#87770340「リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)におけるスタックベースのバッファオーバーフローの脆弱性」(2026年4月30日公表)
  • フィッシング対策協議会「緊急情報」
  • 国民生活センター「SMSやメールでのフィッシング詐欺の相談が依然高水準」
  • INTERNET Watch「春は引っ越し、冬はふるさと納税…『季節のフィッシング詐欺』が一年中あなたを狙う」


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

MENU