Microsoftは2026年5月のPatch Tuesdayにて、Azure Managed Instance for Apache Cassandraに存在する2件の重大なリモートコード実行(RCE)脆弱性(CVE-2026-33109、CVE-2026-33844)を公開・修正した。CVSS スコアはそれぞれ9.9と9.0と極めて深刻であり、マネージドCassandraを利用している組織は即座の対応が求められる。

脆弱性の概要

今回発見された2件の脆弱性は、いずれもリモートコード実行(RCE)を可能にするものだ。

CVE番号 CVSSスコア 深刻度

CVE-2026-33109 9.9(Critical) 重大

CVE-2026-33844 9.0(Critical) 重大

特に注意すべきは、攻撃の前提条件の低さにある。低権限のアカウントを持つ攻撃者が、被害者のユーザー操作を一切必要とせずに任意コードを実行できるという組み合わせは、実際の攻撃シナリオにおいて非常に悪用されやすいパターンだ。

Apache Cassandraはオープンソースの分散NoSQLデータベースであり、大規模データの高可用性処理に広く使われている。AzureのマネージドサービスとしてCassandraを利用することで、インフラ管理の手間を省けるが、今回のようにプラットフォーム側の脆弱性が直接利用者に影響する点は留意が必要だ。

修正の適用状況

MicrosoftはPatch Tuesdayの一環としてこの脆弱性に対応済みであることを発表している。マネージドサービスの性質上、インフラ層のパッチはMicrosoftが管理するが、利用者側でも自分たちのワークロードが適切に更新されているか確認することが重要だ。Azureポータルからサービスの状態とメンテナンスウィンドウを確認しておきたい。

実務での確認ポイント

Azure Managed Instance for Apache Cassandraを利用している場合の即時アクション:

  • Azureポータルで稼働インスタンスを確認: 「Azure Managed Instance for Apache Cassandra」として登録されているリソースを棚卸しする
  • ネットワークアクセス制御の見直し: パブリックエンドポイントを無効化し、プライベートエンドポイント経由のアクセスのみに絞る
  • サービスプリンシパル・マネージドIDの権限確認: データベースに接続するNon-Human Identity(NHI)に過剰な権限が付与されていないか確認する
  • アクセスログの確認: 不審な操作がなかったか、Azure Monitorのログを遡って確認する
  • Microsoft Security Response Center(MSRC)のアドバイザリを追跡: 追加情報が公開された場合に備えて定期確認する

また、今回のような「低権限で攻撃可能」なRCE脆弱性は、最小権限の原則(Principle of Least Privilege)の徹底がいかに重要かを改めて示している。接続アカウントに管理者権限を与えていた場合、被害の範囲が大幅に広がることになる。

筆者の見解

セキュリティ案件は正直、追うのが得意なジャンルではない。だが今回のケースは純粋に技術的な興味を引く話だ。CVSS 9.9というスコアは、攻撃の容易さと影響範囲の広さを同時に示しており、数字の重みをちゃんと受け止めてほしい。

問題の本質は「マネージドサービスだから安全」という誤解にある。マネージドサービスはインフラ管理の手間を省いてくれるが、脆弱性がなくなるわけではない。むしろ、プラットフォーム側の問題は利用者が自力でパッチを当てることもできないため、Microsoftのパッチ適用タイミングに依存するという側面もある。

この構造を踏まえると、設計段階で「侵害を前提とした防御」を組み込むことが不可欠だ。具体的には、データベースへのアクセス権を最小化し、接続するNon-Human Identityに必要最低限の権限のみを与え、定期的に棚卸しする仕組みを整えること。NHI管理を怠ると、こうした脆弱性が発覚したとき「どのサービスプリンシパルがどのデータベースに何の権限で繋がっているか」がわからなくなり、影響範囲の特定すらできなくなる。

マネージドサービスを積極的に使うのは正しい選択だ。ただし、「管理をMicrosoftに任せる部分」と「自分たちで管理すべき部分」の境界線を明確に引いたうえで運用してほしい。その境界を曖昧にしたまま使い続けることのリスクが、今回の件で見えてきたと思う。

出典: この記事は Azure Managed Instance for Apache Cassandra: Critical RCE Vulnerabilities (CVE-2026-33109, CVE-2026-33844) の内容をもとに、筆者の見解を加えて独自に執筆したものです。