チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「TeamCityに22件の脆弱性って多すぎでしゅ……どこから手をつければいいでしゅか?」
「CI/CDが乗っ取られたらサプライチェーン攻撃でしゅよね?」
チップスパスワードやAPIトークンまでログに出ちゃうなんて怖いでしゅ……。
ボスふふふ、CI/CD基盤は資格情報の集合体だ。1件の情報漏えいで本番デプロイまで掌握されることもある、軽視できんぞ。
本記事ではJetBrainsが2026年6月に公表した22件の脆弱性のうち、特に押さえるべき5本の概要と、TeamCity 2026.1への更新手順を解説します。
5分後には、社内のTeamCity環境を点検する優先順位がそのまま手に入ります。
オススメ案件
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずは特に影響が大きい5本の中身を整理します。
Help Net SecurityによるとCVE-2026-44413は認証済みユーザーが本来権限のない管理APIを叩ける高深刻度の脆弱性で、TeamCity 2026.1で修正されています。
CVE-2026-49372はビルドステータスリクエストのURL検証不備によるSSRFで、内部ネットワーク偵察に悪用可能です。
CVE-2026-49378はパラメータ自動補完経由でパスワード・APIトークン・SSH鍵を低権限ユーザーが閲覧できる情報開示で、影響度が極めて高い問題です。
CVE-2026-49379はスレッド名に資格情報が混入し、監視ツールやスレッドダンプから読み取られるリスクを抱えていました。
主要CVEの概要は以下のとおりです。
| CVE | 種別 | 影響 |
|---|---|---|
| CVE-2026-44413 | API露出 | 認証ユーザーが管理APIへアクセス可能 |
| CVE-2026-49372 | SSRF | 内部リソースへの偵察・到達 |
| CVE-2026-49377 | 情報開示 | エージェント既定値経由で機密露出 |
| CVE-2026-49378 | 情報開示 | 低権限ユーザーが資格情報を閲覧 |
| CVE-2026-49379 | 情報開示 | スレッド名にパスワード等が混入 |
チップスパスワードがスレッド名に出るなんて、調査ログから普通に読まれそうでしゅ!
ボスそうだ。資格情報が複数の経路で漏れるのは、CI/CDの設計思想として致命的だ。アップデートを最優先で進めるべき案件だな。
TeamCityの脆弱性が怖いのは、本番デプロイ権限とつながっている点にあります。
2024年のTeamCity脆弱性CVE-2024-27198では、認証バイパスから管理者アカウント作成まで自動化され、JetBrains顧客企業が短期間で大量に侵害されました。
同様にCI/CD基盤を握られると、ビルドスクリプトやアーティファクトに不正コードが混入し、配布先である自社サービスや顧客環境まで連鎖侵害が広がります。
OSSライブラリのリリースパイプラインが標的になれば、いわゆるサプライチェーン攻撃そのものです。
2026年版の脆弱性群も同じ筋道で悪用される可能性があるため、TeamCity管理者は今日中に動く必要があります。
優先で実施すべき対応は以下のとおりです。
チップス更新だけじゃ足りないでしゅか?
ボス足りん。アップデート前に資格情報が読まれていれば、そのまま使われる。ローテーションまでが一連の対応だ。
JetBrainsが公表した22件の脆弱性は、CI/CDが「鍵束を持ったシステム」であるという当たり前を改めて突きつけました。
アップデート・資格情報ローテーション・権限棚卸の3点を同時に動かすことで、サプライチェーン攻撃の起点になるリスクを大きく下げられます。
放置すれば、ビルドパイプラインが侵入後の横展開ハブに変わってしまいます。
CI/CD周りのセキュリティ運用を本気で立て直したい方は、ぜひフリーランス案件で現場の実例に触れてみてください。
参考: Security NEXT「JetBrains TeamCityなど4製品に22件の脆弱性」 / Help Net Security「JetBrains TeamCity vulnerability allows privilege escalation, API exposure」 / JetBrains Blog「High-Severity Security Issue Affecting TeamCity On-Premises (CVE-2026-44413)」
オススメ案件
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
