Microsoftは2026年5月のセキュリティ更新で、Azure Logic Appsに深刻な特権昇格脆弱性(CVE-2026-42823)が存在することを公表した。CVSSスコアは**9.9(Critical)**で、認証済みのユーザーが本来持つべきでない権限を取得できる可能性がある。
Azure Logic Appsとはどんなサービスか
Azure Logic Appsは、Microsoftが提供するローコード・ノーコードのワークフロー自動化サービスだ。Microsoft 365、Salesforce、SAP、各種データベースなど数百のコネクタを備え、企業の業務自動化・システム統合に幅広く活用されている。承認フロー、データ変換、定期バッチ処理など、現代のエンタープライズITインフラを支える縁の下の力持ちとも言える存在だ。
CVE-2026-42823の概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-42823 |
| 深刻度 | Critical(CVSS 9.9) |
| 脆弱性の種類 | 特権昇格(Elevation of Privilege) |
| CWE | CWE-284(不適切なアクセス制御) |
| 影響サービス | Azure Logic Apps |
| 悪用状況 | 未確認(PoC非公開) |
| Azure Service Health追跡ID | 1P8-C0G |
この脆弱性の本質は「認証は通っているのに、認可が適切に検証されない」点にある。正規のアカウントでサービスにアクセスできるユーザーが、本来アクセスできないリソースや操作に到達できてしまう可能性がある。
特に危険なのは、Logic Appsが他のAzureサービスや外部システムと広範囲に連携しているという性質だ。特権昇格に成功した攻撃者は、Logic Appsを踏み台に接続先サービスへ横断的移動(ラテラルムーブメント)を行うリスクがある。
影響を受けやすい環境
以下のような環境では特にリスクが高い:
- マルチテナント環境でLogic Appsを運用している
- Logic AppsからAzure Storage・SQL Database・Key Vaultへの接続を行っている
- 外部SaaSとのデータ連携にLogic Appsを使っている
- 承認フローや人事・財務プロセスをLogic Appsで自動化している
対応方法 — クラウド版とArc版で異なる
Azure Logic AppsはAzureのマネージドサービスであり、通常のオンプレミスソフトウェアのように「パッチをダウンロードして適用する」タイプの対応ではない。対応方法は利用形態によって異なる。
クラウド版Logic Apps(大半のユーザー)
クラウド上で動作する標準的なLogic Appsは、Microsoftがサービスサイドで修正を適用する。ユーザーが手動でパッチを当てる必要はない。ただし、MSRCの公式アドバイザリでは「Customer action required」と記載されており、以下の確認が推奨される:
- Azure Service Healthで追跡ID「1P8-C0G」を確認し、案内される手順に従う
- Logic Appsに割り当てられたRBACロール・マネージドIDの権限を見直す(過剰な権限がないか)
- Azure Activity LogでLogic Appのトリガーやアクションに不審な変更がないか確認する
Azure Arc-enabled Logic Apps(オンプレミス/ハイブリッド)
Azure Arcを使ってオンプレミスやハイブリッド環境でLogic Appsを実行している場合は、ランタイムの手動アップデートが必要だ。Logic Appsランタイム バージョン 2026.05.10以降への更新が推奨されている。
まとめ
CVE-2026-42823はCVSS 9.9のCritical脆弱性であり、影響範囲の広さから無視できないものだ。ただし、Azure Logic Appsはマネージドサービスであるため、クラウド版ユーザーに求められるのは「パッチ適用」ではなく、Azure Service Healthの確認と、自環境のアクセス制御の見直しである。Logic Appsを利用している組織は、この機会にRBACの設定やマネージドIDの権限を棚卸しすることをお勧めする。
出典: