【CrowdStrike】特定のCVEに対してのFalconでの検知可否について調査した件(Prevent・Spotlight・Charlotte AI)

» 技術 » CrowdStrike
sobar sobar

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回はCrowdStrike Falconで特定のCVE(今回はCVE-2026-31431(LinuxのソケットI/Fの脆弱性))に対してのエンドポイント検知が可能なのかを確認する方法について、生成AIアシスタントのCharlotte AIにて確認するところからはじめて、Spotlight での該当CVEを評価・追跡状況についてご紹介いたします。

CVEとは

CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)とは、ソフトウェアやシステムのセキュリティ上の弱点(脆弱性)に対して付けられる、世界共通の管理番号(ID)のことです。

見つかったセキュリティのバグに対する「世界共通の背番号」や「名札」のようなものです。米国のMITRE(マイター)社という非営利団体が採番と管理を行っています。

よく似た言葉のCVSSとの違い
CVEとセットでよく使われる言葉に「CVSS(共通脆弱性評価システム)」があります。この2つは以下のように役割が異なります。

  • CVE:脆弱性の「名前(ID)」(例:CVE-2024-0001)
  • CVSS:その脆弱性の「危険度のスコア」(例:0.0〜10.0の点数で評価)

CVE-2026-31431 の概要

Linuxカーネルの暗号ソケットインターフェース(algif_aead)において、in-place操作の設計不備により、非特権ユーザーが任意のファイルのページキャッシュを4バイト書き換え可能な脆弱性が存在。この脆弱性を悪用することで、setuidバイナリのページキャッシュを改ざんし、root権限を取得することができるといった脆弱性情報となります。

Charotte AIに聞いてみる

無邪気に生成AIアシスタントのCharotte AI に聞いてみます。Charotte AIより以下のようなプロンプトを入力します。

Charlotte AI > 対話

CVE-2026-31431 に対して、エンドポイント検知可能か教えて

Charlotte AIにて特定のCVEの検知可否について確認

2026年6月時点でCrowdStrike Falcon は CVE-2026-31431(Linux Copy Fail)に関連する攻撃について、Linux向けの IOA(Indicator of Attack)を追加していてエンドポイントでの検知が可能であるようです。※これは「脆弱性の存在そのもの」を検知するというより、悪用時の挙動(IOA)や検知ロジック(RRC)で攻撃を検知/防御することが可能ということになります。

CrowdStrike のサポート記事(Trending Threats & Vulnerabilities: Linux Copy Fail (CVE-2026-31431) / Tech Alert)については次項のCrowdStrike のサポート記事(Trending Threats & Vulnerabilities: Linux Copy Fail (CVE-2026-31431) / Tech Alert)にて確認してみます。

次にテナント上での該当CVEの対応状況について確認してみます。

証跡としてテナント上で該当CVEの対応について確認できる箇所はある?

Charlotte AIにて特定のCVEの対応について確認

弊社テナントのSpotlightデータ上では CVE-2026-31431 に該当するオープンな脆弱性は 0 件でした。

Spotlightデータ上では CVE-2026-31431 に該当するオープンな脆弱性は 0 件

CrowdStrike のサポート記事(Trending Threats & Vulnerabilities: Linux Copy Fail (CVE-2026-31431) / Tech Alert)

CrowdStrikeの脅威インテリジェンス上では、CVE-2026-31431 は ExPRT  重大/Critical、 現実的なリスクが高いので優先度を上げるべきものになっています。

crowdstrike-endpoint-detection-capability-for-specific-cves_02

以下で各項目の詳細内容について記載します。 

  • ステータス ExPRT評価(重大 / Critical:注意して優先的に対処すべきの判断材料です。
    • ExPRT(Expert Prediction Rating)は CVSSと違う指標で、CVSSが「技術的な深刻度の静的スコア」なのに対し、ExPRTは実際の悪用状況などの脅威テレメトリも取り込んだ動的なリスク評価です。
    「ExPRT  重大/Critical」は、現実的なリスクが高いので優先度を上げるべきという意味合いが強いものとなります。
  • CVSSベーススコア(7.8 v3.x:CVSSは 0.0〜10.0 の業界標準スコアで、数値が高いほど深刻です。今回はスコア 7.8 は High(高)に該当し、「対処優先度が高い」ものとなります。
    • 一般的な区分は以下となります。
      • Critical: 9.0–10.0
      • High: 7.0–8.9
      • Medium: 4.0–6.9
      • Low: 0.1–3.9
  • CWE(CWE-669 :CWE(Common Weakness Enumeration)は脆弱性の種類/パターンの分類番号です。画面に出力されているCWE-669 は代表例として「不適切なリソース管理(Incorrect Resource Management)」系の分類を指します。(厳密な定義文章はMITREのCWE辞書側が一次情報になります)今回の脆弱性例でいうと『本来は隔離されるべきリソース(主にメモリ上のデータ)が、処理の設計/実装の不備で露出し得る』という分類のようです。
  • カバレッジのステータス(サポートあり:サポートありの場合はSpotlightがそのCVEを評価・追跡できる(=脆弱性の有無を判定して可視化できる)ことを示します。 「悪用を必ず検知できる保証」そのものではなく、脆弱性管理上のカバレッジとなります。
  • NVDリンク(https://nvd.nist.gov/vuln/detail/CVE-2026-31431:NVD(National Vulnerability Database)の当該CVEページへの外部リンクです。CVSSや技術詳細など、追加の根拠確認に使います。
  • Falconネットワークスキャンのカバレッジ(いいえ:そのCVEが Falconのネットワークスキャン(NVA: Network Vulnerability Assessment)経由で検出できるタイプかどうかを示します。「いいえ」=ネットワークスキャンではこの脆弱性を検出対象としていない、という意味です。その場合は基本的に、センサーが入っているエンドポイント側(Spotlight評価など)での把握が中心になります。

今回と同様の対応・確認・調査を行う際に必要なCrowdStrike Falconのライセンス

今回と同様の対応・確認を行う際には以下のCrowdStrike Falcon のライセンスが必要となります。

 ※その他ライセンスの詳細につきましては弊社までお気軽にお問合せください。 

 参考

さいごに

今回はCrowdStrike Falcon は CVE-2026-31431(Linux Copy Fail)に関連する攻撃についてLinux向けの IOAを追加しているためエンドポイント検知が可能であること(2026年6月時点)、また、SpotlightがそのCVEを評価・追跡できる(=脆弱性の有無を判定して可視化できる)ことを確認いたしました。Spotlight で個別のCVEで脆弱性情報への対応状況がまとめられている点は良いと思いました。

この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!

SaaSバナー_CrowdStrike