Azure DevOpsにCVSS 10の認証不要脆弱性——ソースコードとAPIキーが丸見えになった可能性

2026年5月7日、Azure DevOpsに影響を与えるCVSSスコア10——つまり脆弱性の深刻度として取り得る最高値——の情報漏洩脆弱性が公開された。CVE-2026-42826として登録されたこの問題は、認証なしのネットワーク上の攻撃者がAzure DevOps上の機密情報にアクセスできるというものだ。現時点でMicrosoftはサービス側での対処完了を発表しており、利用者側での緊急対応は不要とされている。しかし、その技術的背景と含意は、DevOpsを運用する日本のIT現場にとって決して無視できない。

CVE-2026-42826とは何か

今回の脆弱性は、コードインジェクションやバッファオーバーフローではない。アクセス制御の不備によって、認証されていない外部の攻撃者がネットワーク経由で機密情報を取得できる「データ漏洩型」の問題だ。

CVSSスコア10は、以下の条件が重なった結果として算出される：

• 認証不要（Unauthenticated）：ユーザー名もパスワードも必要ない
• ネットワーク経由（Network-accessible）：物理的なアクセスなしに遠隔から攻撃可能
• ユーザー操作不要（No user interaction）：誰かにリンクをクリックさせる必要もない

CVSSで10を取るということは「組み合わせとして最悪の条件が全部揃っている」ことを意味する。スコアを見た瞬間に状況の深刻さが伝わる、数字のインパクトがある。

何が漏れた可能性があるか

アドバイザリーには具体的なデータ種別の記載はないが、Azure DevOpsが管理するリソースを考えると、以下が漏洩対象として想定される：

• ソースコード：リポジトリへの不正アクセス
• ビルド定義・パイプライン設定：CI/CDの詳細な構成情報
• シークレット・APIキー：ビルドパイプラインに埋め込まれた認証情報
• 環境変数：本番環境の接続文字列など

特に深刻なのは、ビルドパイプライン上のシークレットだ。「ビルド時だけ必要だから」とパイプライン変数に書き込まれた認証情報が、DevOpsプラットフォームを通じて外部から閲覧できる状態にあった可能性がある。

サプライチェーン攻撃への悪用リスク

攻撃者がソースコードとビルド設定を入手できれば、コードへのバックドア挿入や依存パッケージのすり替えが現実的な選択肢になる。ソフトウェアサプライチェーンへの攻撃は、開発元の被害にとどまらず、そのソフトウェアを使用するすべての組織に波及する可能性がある。このため、今回の脆弱性は単なる「情報漏洩」の枠を超えた影響力を持つ。

実務への影響——今日から見直せること

修正はMicrosoft側で完了しているが、このタイミングで以下の点を棚卸しする価値は十分ある。

ビルドパイプライン上のシークレット管理を再点検

「今動いているから大丈夫」は根拠にならない。Azure DevOpsのビルド変数に直接書かれているAPIキーやパスワードは、Azure Key VaultやManaged Identity（マネージドID）への移行計画を立てるべきだ。仕組みを変えるだけで、類似した問題が起きた際の被害を大幅に抑えられる。

Non-Human Identity（NHI）の権限を絞る

サービスプリンシパルやマネージドIDに「とりあえず広め」の権限を割り当てていないか確認しよう。NHIに与えた権限の広さが、漏洩時のダメージに直結する。最小権限の原則（Least Privilege）は、机上の概念ではなく被害封じ込めの実用的な手段だ。

ログとアラートの整備

認証なしでの情報アクセスを試みる挙動は、適切な監視があれば早期発見できる可能性がある。Azure MonitorやMicrosoft Defender for DevOpsのアラートが正しく構成されているか、この機会に確認したい。

筆者の見解

セキュリティ系の記事は「また脆弱性か」と流れがちだが、CVSS 10は別格だ。これは理論上取り得る最悪の評価であり、「修正済みだから大丈夫」という言葉だけで安心するのは危険だと思っている。

気になるのは、脆弱性の具体的なメカニズムが今もアドバイザリーに記載されていない点だ。「認証不要で情報が漏れる」という事実は明らかになっているのに、どのエンドポイントが問題だったか、影響を受けたバージョンの範囲がどこかは公開されていない。透明性という観点では、修正完了後の詳細な事後説明をぜひお願いしたいところだ。

Azure DevOpsは日本でも多くの企業のソフトウェア開発の中枢を担っている。プラットフォームへの信頼が問われる局面だからこそ、技術的な対処だけでなく、情報開示の誠実さも問われる。Microsoftにはその力がある。正面から向き合う姿勢を示してほしい。

今後に向けて言えば、「シークレットをパイプラインに直接置かない」「NHIの権限は最小限に絞る」「常時ログを監視する」——この3点は脆弱性の有無に関係なく、ゼロトラスト時代の基本設計として徹底する価値がある。今回の事象を、自組織のDevOpsセキュリティを見直す良いきっかけにしてほしい。

出典: この記事は CVE-2026-42826: Azure DevOps Critical Information Disclosure – CVSS 10 の内容をもとに、筆者の見解を加えて独自に執筆したものです。