Ubuntu運用者が今日実行するapt自動更新とPro Livepatchの判断----22.04 / 24.04 / 26.04の差分整理

HOMEリナックスマスター.JP 公式ブログLinux情報・技術・セキュリティ > Ubuntu運用者が今日実行するapt自動更新とPro Livepatchの判断----22.04 / 24.04 / 26.04の差分整理
宮崎智広 この記事の監修:宮崎智広(Linux実務・教育歴20年以上・受講者3,100名超)
2026年5月15日朝、Ubuntu Security Notice(USN)はまだ Dirty Frag(CVE-2026-43284 / 43500)にも Fragnesia(CVE-2026-46300)にも発番されていません。Ubuntu CVE tracker 上は 22.04 / 24.04 / 25.10 / 26.04 すべての linux パッケージで "Needs evaluation"、注釈は "Fix is only in netdev tree for now"。AlmaLinux と Fedora は配布済、Debian と RHEL と Ubuntu は未配布です。

書こうと思ったのは、Fragnesia 解説を出した今日の昼に、受講生から「うちの 24.04 サーバー、unattended-upgrades 任せだけど、これって自動で当たるんですか」と聞かれたから。20年以上 Linux サーバーの現場にいますが、Ubuntu の自動更新と Livepatch の判断を早急に求められたのは今回が初めてです。

先に結論をお伝えします。Ubuntu の場合、apt の手当て・unattended-upgrades の挙動確認・Ubuntu Pro Livepatch の有効化、この3点を LTS 版数ごとに同時に行う必要があります。「ただ待つ」は最悪手になります。

この記事のポイント
  • Ubuntu CVE tracker 上、Dirty Frag・Fragnesia ともに USN 未発番。22.04 / 24.04 / 26.04 すべての linux パッケージが "Needs evaluation"(2026-05-15時点)。
  • 影響範囲は Linux 4.11 系以降。22.04 GA(5.15)、22.04 HWE(6.8)、24.04 GA(6.8)、24.04 HWE(6.17)、26.04(7.0)すべて該当。フレーバ変更では逃げられない。
  • Canonical 公式緩和は esp4 / esp6 / rxrpc の modprobe.d ブラックリスト化+update-initramfs -u -k all までが1セット。
  • unattended-upgrades は -security pocket のカーネル更新を当てるが、再起動は自動ではない。新カーネルが入っても古いカーネルで実行し続ける状態になりやすい。
  • Ubuntu Pro Livepatch は個人5台無料・HWE 対応・10年カバー。USN を待たずに先に有効化しておくのが現実解。

Ubuntu運用者が今日実行するapt自動更新とPro Livepatchの判断----22.04 / 24.04 / 26.04の差分整理
「このままじゃマズい」と感じていませんか?
参考書を開く気力もない、同年代に取り残される不安——
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
図解60P/登録10秒/解除も3秒 / 詳細はこちら

Ubuntu CVE tracker は今どうなっているか

USN 未発番・"Needs evaluation"・netdev tree のみ

CVE-2026-43284(Dirty Frag 本体)、CVE-2026-43500(RxRPC)、CVE-2026-46300(Fragnesia)。3件とも Ubuntu CVE tracker 上は priority High、USN 未発番、状態 "Needs evaluation"。注釈 "Fix is only in netdev tree for now" は「上流ネットワークサブシステム開発ツリーには修正が入っているが、Ubuntu の Security pocket にビルドが流れていない」という意味です。誤読すると「もう直っている」と思ってしまいます。

影響を受ける Ubuntu kernel フレーバ

CVE tracker に "Needs evaluation" 状態で並んでいるのは linux(generic)、linux-awslinux-azurelinux-gcplinux-raspilinux-kvmlinux-oem(-6.8 / -6.11 / -6.14 / -6.17)、linux-hwe(-6.8 / -6.11 / -6.14 / -6.17)の各パッケージ。手元では Raspberry Pi 5 で linux-raspi、AWS で linux-aws、24.04 デスクトップで linux-generic と3系統が動いています。同じアカウント内でもフレーバが違えば USN 発番タイミングはズレる前提です。

Ubuntu LTS 別 kernel 系列と該当範囲

22.04 / 24.04 / 26.04 全部該当

Linux カーネル 4.11 系以降が影響圏内。Ubuntu の主要 LTS と中継リリースを並べます。

Ubuntu リリース GA カーネル HWE カーネル(現行) Dirty Frag/Fragnesia 該当
22.04 LTS(Jammy) 5.15 系 6.8 系(linux-image-generic-hwe-22.04) 該当
24.04 LTS(Noble) 6.8 系(24.04 / 24.04.1) 24.04.4 LTS で 6.17 系 該当
25.10(Questing、インテリム) 6.17 系 -- 該当
26.04 LTS(Resolute Raccoon、2026-04-23 GA) Linux 7.0 系 -- 該当

ポイントは「HWE に上げれば逃げられる構図ではない」こと。Linux 4.11 以降ほぼ全該当なので、GA も HWE も 7.0 系の最新も同じ穴を持っています。

「自分のカーネルが該当するか」を apt changelog で見る

LTS 版数を問わず、本質は `apt changelog` の CVE grep です。

$ uname -r
$ sudo apt update
$ apt changelog linux-image-$(uname -r) | grep -E "CVE-2026-43284|CVE-2026-43500|CVE-2026-46300"

# HWE 利用時
$ apt changelog linux-image-generic-hwe-22.04 | grep "CVE-2026-43284"
$ apt changelog linux-image-generic-hwe-24.04 | grep "CVE-2026-43284"
changelog に CVE 番号が出た瞬間が、その Ubuntu パッケージにパッチが適用された瞬間です。USN メールだけ待つのではなく `apt changelog` を直接見に行く運用に慣れておきましょう。


Ubuntu運用者が今日打つapt自動更新とPro Livepatchの判断----22.04 / 24.04 / 26.04の差分整理 - 解説1

Canonical 公式の Dirty Frag 緩和ブログを正確に踏む

update-initramfs まで含めて1セット

Canonical は 公式ブログで Ubuntu 向けの緩和手順を案内しています。Hyunwoo Kim 氏が oss-security に投げた即時コマンドとほぼ同じですが、Ubuntu 向けには `update-initramfs -u -k all` がワンステップ追加されている点が違います。

# Canonical 公式案内(Ubuntu blog より)
$ echo "install esp4 /bin/false"  | sudo tee    /etc/modprobe.d/dirty-frag.conf
$ echo "install esp6 /bin/false"  | sudo tee -a /etc/modprobe.d/dirty-frag.conf
$ echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
$ sudo update-initramfs -u -k all

# すでにロード済みのモジュールを外す
$ sudo rmmod esp4 esp6 rxrpc 2>/dev/null

# 確認
$ grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules \
    && echo "Affected modules are loaded" \
    || echo "Affected modules are NOT loaded"
`update-initramfs -u -k all` を入れる理由は、Ubuntu の boot 時に initramfs から `esp4` が先に組み込まれるケースがあるためです。modprobe.d だけだと「起動時に組み込まれる経路」が残ります。AlmaLinux では dracut が `--regenerate-all` で対応しますが、Ubuntu では `update-initramfs -u -k all` まで明示しないと完全に塞げない、というのが Ubuntu 固有の手順です。

IPsec / AFS 利用確認と AWS 固有の罠

公式緩和の前に、IPsec と AFS の利用有無を `ip xfrm` と `mount | grep afs` で確認します。Ubuntu 特有の注意は、linux-aws 利用の EC2 で VPC Site-to-Site VPN を引いている場合に esp4 / esp6 を止めると即座に通信が落ちること。AWS 側 VPN は ESP プロトコル前提で、Linux 側で塞ぐと「コンソールは接続中表示なのに実通信は落ちている」というねじれが起きます。

unattended-upgrades の挙動を Ubuntu LTS ごとに点検する

デフォルトは security pocket 自動・再起動なし

ここが Ubuntu 運用者にとって一番大切な話です。Ubuntu Server 公式ドキュメントによれば、unattended-upgrades のデフォルトは release pocket と -security pocket と ESM の security 部分のみ自動適用。-updates / -proposed / -backports は OFF。

USN が発番されてカーネル更新が -security pocket に流れれば、apt 自動更新で新カーネルパッケージはインストールされます。問題はそこからで、`Unattended-Upgrade::Automatic-Reboot` が明示的に "true" になっていなければ再起動は実行されない。新カーネルがディスクに書かれて `uname -r` は古いまま、という状態が永続します。メモリ上で動いているカーネルが古いままだと Dirty Frag / Fragnesia は塞がりません。

22.04 / 24.04 / 26.04 共通の設定確認手順

設定ファイルの場所と確認コマンドは LTS 版数を問わず共通です。

$ sudo systemctl status unattended-upgrades
$ grep -E "^Unattended-Upgrade::Allowed-Origins" /etc/apt/apt.conf.d/50unattended-upgrades
$ grep -E "Automatic-Reboot" /etc/apt/apt.conf.d/50unattended-upgrades
# Automatic-Reboot "true"; と Automatic-Reboot-Time "02:00"; が
# コメントアウトされていないか確認
$ sudo tail -n 50 /var/log/unattended-upgrades/unattended-upgrades.log
私の方針は、Dirty Frag / Fragnesia のような「カーネル更新=即再起動」な脆弱性が続く期間は `Automatic-Reboot "true"` を明示有効化。深夜時間帯に `Automatic-Reboot-Time "02:00"` で組めば「USN が降った翌深夜には再起動済」の状態になります。逆に Web アプリ本番機など「勝手に再起動されると困る」サーバーでは、後述の Livepatch で「apt 自動・再起動なし」を堅持します。


Ubuntu運用者が今日実行するapt自動更新とPro Livepatchの判断----22.04 / 24.04 / 26.04の差分整理 - 解説2

Ubuntu Pro Livepatch を「USN を待たずに」有効化する

個人5台まで無料・HWE 対応・10年カバー

Ubuntu Pro Livepatch は Ubuntu Pro サブスクリプションの一部。押さえておきたい点は、個人利用最大5台まで無料、HWE カーネルもサポート対象(22.04 HWE 6.8 / 24.04 HWE 6.17 等)、Ubuntu Pro 標準で10年カバー(Legacy add-on で +5年で合計15年)、26.04 以降は ARM64 もカバー対象(Raspberry Pi 5 の linux-raspi も含む)の4点。

「個人5台無料」枠で自宅検証機・社内ステージング・小規模本番機までカバーできます。

Livepatch 個別配信は「明示記載なし・USN 連動」

正直に書くと、2026-05-15 時点で Dirty Frag / Fragnesia 個別の Livepatch 提供有無は、Ubuntu CVE tracker でも公式 Livepatch ページでも明示されていません。Livepatch は USN 発番連動の建付けなので、USN が出るまでは動きません。

それでも先に有効化しておく意味は2つ。USN 発番の瞬間に自動配信されるので、`apt upgrade` → `reboot` の手数を省ける。同根バグの次にも備えになるので、Dirty Pipe → Copy Fail → Dirty Frag → Fragnesia の系譜が続く前提では1回切りのコストで回収できます。

# Ubuntu Pro へのアタッチ(個人利用は ubuntu.com/pro でトークン取得)
$ sudo pro attach <トークン>

# Livepatch の有効化
$ sudo pro enable livepatch

# 状態確認
$ sudo pro status
$ sudo canonical-livepatch status

# 適用済みパッチ一覧
$ sudo canonical-livepatch status --verbose
`canonical-livepatch status --verbose` の `kernel: ...` 行で patch state が `applied` になっていれば、メモリ上で動いているカーネルにライブパッチが当たっています。USN 発番後に Dirty Frag / Fragnesia 該当の patch ID が出てきたら自動で `applied` に切り替わります。

Livepatch の限界

Livepatchは万能ではありません。対応カーネルの範囲は HWE と GA の組み合わせで決まるので、自分の Ubuntu リリースとフレーバが 対応一覧に載っているか必ず確認します。`linux-oem` の一部や極端に古い HWE は対象外のことがあります。受講生に「課金して元が取れますか」と聞かれた時の答えは、今回の流れを見て「無料5台までは迷わず有効化、6台目以降は止められないサーバーかどうかで判断」になります。

Ubuntu運用者のための今日のチェックリスト

今日の作業に落とし込めるチェックリストです。
  • CVE tracker と USN を一次情報として開く: CVE-2026-43284CVE-2026-46300 をブックマーク。USN メーリングリスト購読も合わせて。
  • 現行カーネルを実測: `uname -r` と `apt changelog linux-image-$(uname -r)` の CVE 出現を全台確認。フレーバ(generic / aws / azure / gcp / raspi)が混在する環境はフレーバごとに別パッケージで grep。
  • Canonical 公式緩和を `update-initramfs` まで踏む: `/etc/modprobe.d/dirty-frag.conf` 作成と `sudo update-initramfs -u -k all` を1セット。initramfs 再生成を抜かすと boot 時にすり抜けが残ります。
  • unattended-upgrades の自動再起動を一時有効化: `Automatic-Reboot "true"` と `Automatic-Reboot-Time "02:00"` をコメントアウト解除。脆弱性収束まではこの設定で走らせます。
  • Ubuntu Pro Livepatch を無料枠で有効化: `sudo pro attach <トークン> && sudo pro enable livepatch`。USN 発番を待たずに先に組む。
  • クラウド/Pi のフレーバ別追跡: `linux-aws` / `linux-azure` / `linux-gcp` / `linux-raspi` は USN キューが別。それぞれ独立に CVE tracker を確認します。


Ubuntu運用者が今日打つapt自動更新とPro Livepatchの判断----22.04 / 24.04 / 26.04の差分整理 - まとめ

「Ubuntu 待ち」の期間を、ただ待たないために

USN 発番までが「最弱の窓」

Debian / AlmaLinux / Amazon Linux が先に動いて Ubuntu / RHEL が遅れる構図は今回 2回続けて起きました。Canonical は商用 QA を厚く回す建付けで、コミュニティディストロより 24~72時間遅れる傾向があります。「Ubuntu 利用なら USN 発番までの窓に必ず手を打つ」前提で、本記事の3層(緩和策・自動更新・Livepatch)を別々に組み合わせます。AlmaLinux のように「`dnf upgrade kernel` で全部終わる」シンプルさを期待すると、Ubuntu では穴を残します。

USN 発番後の運用フロー

CVE tracker で "released" 確認 → ステージングで `apt changelog` grep → `apt upgrade` → 再起動 → IPsec / AFS / 業務通信を検証 → 本番展開、の順で実行します。最後に 緩和策(`dirty-frag.conf`)を残すか剥がすか判断。Dirty Frag → Fragnesia の流れを踏まえると、当面は残す方が次のバグへのバッファになります。

本記事執筆時点(2026-05-15)で Ubuntu の公式パッチは未配布。USN 発番と Livepatch 配信のタイミングで、記事末「更新履歴」欄に追記していきます。

参考

Ubuntu の apt 自動更新と Pro Livepatch、自信を持って組めていますか?

uname -r、apt changelog、update-initramfs、unattended-upgrades の Automatic-Reboot、pro enable livepatch。記事で読むだけでなく、実機で繰り返し手を動かすことで初めて身につきます。
ネットの切れ端の情報をコピペするだけでなく、現場で通用する安全なLinuxサーバー構築の「型」を体系的に身につけたい方へ、『Linuxサーバー構築入門マニュアル(図解60P)』を完全無料でプレゼントしています。

今すぐ無料でダウンロード(登録10秒) >> 図解60P『Linux入門マニュアル』を受け取る

「独学の時間がもったいない」「プロから直接、現場の技術を最短で学びたい」という本気の方には、2日で実務レベルのスキルが身につく【初心者向けハンズオンセミナー】も開催しています。

関連記事

無料メルマガで学習を続ける

Linuxの実践スキルをメールで毎週お届け。
登録は1分、解除もいつでも可。

登録無料・いつでも解除できます

暗記不要・1時間後にはサーバーが動く

3,100名以上が実践した「型」を無料で公開中

プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。

登録10秒/合わなければ解除3秒 / 詳細はこちら

Linux無料マニュアル(図解60P) 名前とメールで30秒登録
宮崎 智広

この記事を書いた人

宮崎 智広(みやざき ともひろ)

株式会社イーネットマーキュリー代表。現役のLinuxサーバー管理者として20年以上の実務経験を持ち、これまでに累計3,100名以上のエンジニアを指導してきたLinux教育のプロフェッショナル。「現場で本当に使える技術」を体系的に伝えることをモットーに、実践型のLinuxセミナーの開催や無料マニュアルの配布を通じてLinux人材の育成に取り組んでいる。

趣味は、キャンプにカメラ、トラウト釣り。好きな食べ物は、ラーメンにお酒。休肝日が作れない、酒量を減らせないのが悩み。最近、ドラマ「フライトエンジェル」を観て涙腺が崩壊しました。

Linux無料マニュアル(図解60P) 名前とメールで30秒登録