チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「19年前から放置されてきたLinuxカーネルの脆弱性が今ごろ発覚?
サーバー運用者は何を確認すべきなのでしょうか?」
チップスボス、CIFSwitchっていう19年前のLinux Kernel脆弱性が話題でしゅ。本当にそんなに長く気付かれていなかったんでしゅか?
ボスふむ、CIFS(Windows互換のファイル共有)サブシステムに昔から残っていた認証ロジックの欠陥だ。低権限ユーザーがroot権限を奪える深刻な問題で、PoCも公開済みだから、即時の対応が必要だな。
本記事では、2026年6月2日に報じられたLinux Kernel CIFSwitch脆弱性の仕組みと、サーバー運用者がすぐ取るべき対策を解説します。
読み終わるころには、自社のLinuxサーバーで優先的に更新すべき範囲が明確になります。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
2026年6月2日、SecurityWeekはLinuxカーネルのCIFSサブシステムに19年前から存在していた脆弱性「CIFSwitch」を報じました。
カーネルは認証要求のオリジンとキー情報を十分に検証していません。
攻撃者は改変されたパラメータでrequest_keyを直接呼び出し、cifs.upcallがroot権限のまま動作する隙を突きます。
この流れの中で名前空間が攻撃者制御の値に切り替わり、結果としてroot権限が奪われる仕組みです。
悪用された場合の流れは以下のステップに整理できます。
攻撃者が改変されたキー情報を含むrequest_keyを呼び出す
カーネルがroot権限でcifs.upcallを実行し、攻撃者の入力をそのまま受け入れる
偽のNSS設定とモジュールがロードされ、root権限の維持につながる
チップス低権限ユーザーがroot取得できるなんて、サーバー運用としては最悪の状況でしゅね…。
ボスそのとおりだ。Webアプリの侵害から横展開する典型シナリオでも、最後にカーネル脆弱性で権限昇格されると被害が一気に広がる。CIFSwitchはまさにその「最後の踏み台」になり得る。
すべてのLinuxサーバーが等しく影響を受けるわけではない点が、CIFSwitch対応のポイントです。
cifs-utilsがインストールされた多くのディストリでは、既定で攻撃経路が開いています。
一方、UbuntuやFedora、openSUSEは既定で該当パスを遮断しているため、初期構成のままなら影響を受けません。
業務サーバーで広く使われるエンタープライズ系ディストリほど、影響を受けやすい点が今回の特徴です。
| 分類 | 主なディストリ |
|---|---|
| 既定で脆弱 | CentOS / Rocky Linux / AlmaLinux / Linux Mint / Kali Linux / SLES SAP |
| 既定で保護 | Ubuntu / Fedora / openSUSE |
主要ディストリは2026年6月にパッチを順次公開しています。
運用者はまず、稼働中のLinuxサーバーのディストリビューションとcifs-utilsの利用状況を棚卸しすべきです。
そのうえで、影響範囲に応じてカーネル更新、SELinux/AppArmorの強化、Webシェルや侵害痕跡の確認を行う必要があります。
詳細はSecurityWeekの記事を参照してください。
CIFSwitchは、長年見過ごされた脆弱性が突然脅威に変わる典型例です。
サーバーOSの構成情報を最新の状態に保ち、必要のないコンポーネントは削減することが、被害最小化の近道となります。
PoCが公開されている以上、対応の遅れがそのままインシデント発生確率に直結します。
チップス家のサーバーまで含めて、まず構成を確認してみるでしゅ!
ボスその意識が大切だな。古い脆弱性ほど、忘れたころに大きな被害を生むからな。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
