2025年5月9日、MicrosoftはAzure Automation、Azure Storage、Azure DevOps、Microsoft Power Appsといった主要クラウドサービスに影響を及ぼす複数の重大な脆弱性について、修正対応を行ったと発表しました。
これらの脆弱性はいずれも、現時点で公に悪用された形跡は確認されていないものの、潜在的なリスクの大きさから、クラウドネイティブ環境におけるセキュリティ対策の重要性が改めて浮き彫りとなっています。
目次
主な脆弱性の概要
CVE-2025-29813(CVSS 10.0):Azure DevOps パイプライン トークン乗っ取り
今回最も深刻とされた脆弱性は、Azure DevOpsにおけるパイプラインジョブトークンの管理に関するものです。
プロジェクトレベルのアクセス権を持つ攻撃者が、一時的なパイプライントークンを長期間有効なトークンに置き換えることで、プロジェクト全体に対する権限を拡大できる可能性がありました。
Microsoftは「この脆弱性を悪用されると、攻撃者がプロジェクトへのアクセスを広げる恐れがある」と説明しており、Visual Studioのアップデート処理におけるトークン管理ロジックを修正することで対策を行っています。
CVE-2025-29827(CVSS 9.9):Azure Automationにおける不適切な認可
Azure Automationに存在していたこの脆弱性は、正規ユーザーがネットワーク内で自身の権限を昇格できる可能性を持っていました。
攻撃対象が認証済みユーザーに限定されるとはいえ、マルチテナント環境などでは深刻な影響を及ぼすリスクがあったとされています。
CVE-2025-29972(CVSS 9.9):Azure Storage リソースプロバイダーにおけるSSRFを悪用したスプーフィング
Azure Storageのリソースプロバイダーでは、サーバーサイドリクエストフォージェリ(SSRF)を利用した攻撃手法が確認されました。
認証された攻撃者が細工されたリクエストを送ることで、他のサービスやユーザーを偽装することが可能となる恐れがありました。
CVE-2025-47733(CVSS 9.1):Microsoft Power Appsにおける情報漏えい
こちらもSSRFによる脆弱性ですが、対象はMicrosoft Power Appsとなっています。
特筆すべきは、攻撃者が認証を受けていない状態でもネットワーク経由で情報を取得できる点であり、未修正の場合、特に大きなリスクとなる可能性が指摘されていました。
Microsoftの対応と利用者への影響
これら4件の脆弱性はいずれも深刻なものですが、Microsoftは「ユーザーによる追加対応は不要」としています。
既にプラットフォームレベルでの対策が完了しており、パブリックな開示前に悪用を防ぐ措置が取られたと説明しています。
関連記事
Microsoft Power BI で機密情報を公開する脆弱性を確認
Azure ネットワーク サービスタグで脆弱性が発生 悪用の可能性
MicrosoftがAzureのサインインにMFA(多要素認証)を必須にする事を発表
MicrosoftのAzureやMicrosoft 365へのアクセス障害はDDOS攻撃が原因
NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
マイクロソフトがバグで顧客の重要なログを1か月間分 消失
2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査
