Azure OpenAIにおいて、特権昇格の脆弱性が確認されました。この脆弱性を悪用されると、攻撃者はシステムへの不正アクセス権を取得し、機密情報の窃取やシステムの制御といった深刻な被害をもたらす可能性があります。影響を受けるバージョンは現時点では特定されていません。Microsoftは、この脆弱性に対する修正プログラムの提供を予定しています。
この脆弱性は、攻撃者がAzure OpenAI環境内で本来許可されていない権限を取得することを可能にします。攻撃者は、この権限を利用して、機密データへのアクセス、設定の変更、さらにはシステム全体の制御を試みる可能性があります。特に、Azure OpenAIを重要な業務プロセスに組み込んでいる場合、この脆弱性の悪用はビジネスへの重大な影響を及ぼす可能性があります。攻撃者は、取得した権限を元に、他のAzureリソースへのアクセスを試み、攻撃範囲を拡大する可能性も考慮する必要があります。
この脆弱性は、2025年8月7日に公開されました。現時点では、公開されているPoCは確認されていませんが、CVSSスコアがCRITICALであることから、悪用される可能性は高いと考えられます。CISAのKEVリストへの登録状況は不明です。Microsoftのセキュリティチームが、この脆弱性の悪用に関する情報を収集し、対応策を検討している可能性があります。
Organizations heavily reliant on Azure OpenAI for AI-powered applications and services are at significant risk. Specifically, deployments with overly permissive user roles or inadequate network segmentation are particularly vulnerable. Any organization storing sensitive data within Azure OpenAI should prioritize remediation.
disclosure
エクスプロイト状況
EPSS
0.16% (37% パーセンタイル)
CISA SSVC
CVSS ベクトル
現時点では、特定の修正バージョンが提供されていません。そのため、Azure OpenAIの設定を見直し、最小限の権限でリソースにアクセスするように制限することが重要です。また、Azure Active Directory (Azure AD) の多要素認証 (MFA) を有効化し、不正アクセスを防止する対策を講じるべきです。Azure OpenAIの監査ログを定期的に監視し、異常なアクティビティを早期に検出することも有効です。Microsoftからの公式なセキュリティアドバイザリの発信を注視し、速やかに対応してください。
Microsoft はこの脆弱性を修正するためのセキュリティ更新プログラムを公開しました。Azure OpenAI に対して、Microsoft が提供する更新プログラムを適用することをお勧めします。
脆弱性分析と重要アラートをメールでお届けします。
Azure OpenAIにおける特権昇格の脆弱性で、攻撃者が不正なアクセス権を取得する可能性があります。CVSSスコアは10(CRITICAL)です。
影響を受けるバージョンは現時点では不明です。Azure OpenAIを利用している場合は、Microsoftからのセキュリティアドバイザリを注視し、適切な対策を講じる必要があります。
現時点では修正バージョンが提供されていません。Azure OpenAIの設定を見直し、最小限の権限でリソースにアクセスするように制限し、Azure AD MFAを有効化してください。
現時点では公開されているPoCは確認されていませんが、CVSSスコアがCRITICALであることから、悪用される可能性は高いと考えられます。
Microsoftのセキュリティアドバイザリページを定期的に確認してください。https://msrc.microsoft.com/