Azure AI Foundry M365エージェントに権限昇格脆弱性（CVE-2026-35435）—今すぐパッチ適用と最小権限設計の見直しを

2026年5月7日、MicrosoftはAzure AI FoundryのM365公開エージェントに深刻な脆弱性（CVE-2026-35435）が存在することを公開した。CVSSスコアは8.6（High）で、ネットワーク経由・認証不要・ユーザー操作不要での権限昇格が可能というシナリオだ。エンタープライズ環境でAIエージェントの活用を進めている組織は、今すぐ対応を開始すべき内容である。

脆弱性の技術的詳細

CVE-2026-35435の根本原因は CWE-284（不適切なアクセス制御） だ。CVSSベクターを読み解くと、この脆弱性の深刻さがよく見えてくる。

評価項目 値 意味

AV（攻撃経路） N（ネットワーク） インターネット越しに攻撃可能

AC（攻撃複雑性） L（低） 特別なスキルや環境が不要

PR（必要な権限） N（不要） 事前認証が不要

UI（ユーザー操作） N（不要） 自動化攻撃が成立する

S（スコープ） C（変更あり） 影響がエージェント境界を越える

C（機密性への影響） H（高） 情報漏洩リスクが高い

特に注目すべきは「スコープ変更あり（S:C）」という評価だ。これはエージェントのコンテキストを踏み台として、テナント内のより広いリソースへのアクセスが可能になることを意味する。M365のデータコネクタや業務データと連携したエージェントが侵害された場合、情報漏洩の範囲は想定をはるかに超える可能性がある。

影響を受けやすい環境

特に注意が必要なのは次のような構成だ。

公開スコープが広いエージェント: テナント外部や社内広域にアクセスを開放した公開エージェントは直接の攻撃対象になりやすい。匿名アクセスを許可している構成は特に危険だ。

機密データコネクタを接続しているエージェント: SharePoint、Exchange、Azure Storageなどと連携するエージェントは、侵害された際の影響範囲が業務データ全体に及ぶ可能性がある。

複数チームが共有するAIエージェントプラットフォーム: 共有コネクタや共有権限セットを持つ環境では、一点突破後の横移動リスクが高まる。

今すぐ取るべき対策

短期（即時対応）

• Microsoftのパッチ情報を継続監視する: MSRCのアドバイザリページ（CVE-2026-35435）を定期確認し、パッチが提供され次第、最優先で適用する
• 公開エージェントの一時制限を検討する: 広く公開されたエージェントについて、セキュリティレビュー完了まで公開スコープを絞ることを検討する
• エージェント操作の監査ログを確認する: 予期しない権限昇格の痕跡や、エージェントAPIへの不審なアクセスがないかをログで確認する。新規IPやサービスプリンシパルからのAPI呼び出し急増も要注意だ

中期（設計の見直し）

• エージェントコネクタへの最小権限適用: エージェントが本当に必要な権限だけを付与し、過剰な権限セットを排除する
• 条件付きアクセスの強化: エージェント管理操作に対してIP制限・デバイスコンプライアンスを組み合わせた条件付きアクセスを設定する
• Just-In-Timeアクセスの検討: エージェントの特権操作は常時付与ではなく、必要時だけ有効化する設計へ移行する

実務への影響

日本企業でも、Copilot StudioやAzure AI Foundryを活用してM365エージェントを構築・公開するケースが急増している。特に業務自動化の文脈でPower AutomateやAzureのデータコネクタと組み合わせた構成は多い。

こうした組織では、エージェントはもはや「ツール」ではなく「非人間アイデンティティ（NHI: Non-Human Identity）」として管理しなければならないという現実と向き合う必要がある。エージェントが持つ権限は、人間のアカウントと同様に—あるいはそれ以上に—厳密な管理が求められる時代になっている。

セキュリティ担当者はエージェントの権限棚卸しを今すぐ実施し、「そのエージェントに本当にこの権限が必要か」を一つひとつ確認してほしい。

筆者の見解

AIエージェントが業務システムの一部として定着しつつある今、こうした脆弱性は「AIの問題」ではなく「アイデンティティ管理とアクセス制御の問題」として捉え直す必要があると感じている。

ゼロトラストの本質は「信頼しない、常に確認する」だが、多くの組織ではエージェントへの権限付与がまだ人間アカウントと同じ温度感で扱われていない。「起動時にAdmin権限を持たせておけば楽」という発想は、人間のアカウントで言えば全員にグローバル管理者を付与するようなものだ。

Azure AI FoundryとCopilot Studioの基盤としての価値は揺るぎない。だからこそ、エージェント展開の際には「最小権限」「Just-In-Time」「スコープ管理」を設計の第一原則として組み込んでほしい。MicrosoftがMicrosoft Entra IDをエージェント管理の中核に据えている方向性は長期的に正しく、その仕組みを最大限に活用することが今後の鍵になると確信している。

セキュリティを「運用を縛る制約」として捉えるのではなく、「自動化を安全に加速するための基盤整備」として位置づけ直す——それが、AIエージェント時代に向けた組織の正しい構えではないだろうか。

出典: この記事は CVE-2026-35435: Improper Access Control in Azure AI Foundry M365 Published Agents の内容をもとに、筆者の見解を加えて独自に執筆したものです。