チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「AIエージェントってプロンプトだけで攻撃されるんでしゅか?」
「Semantic Kernelを使ってる業務システム、大丈夫?」
チップスボス、Semantic Kernelってマイクロソフトの公式フレームワークでしゅよね?それでもRCEが出るんでしゅか?
ボスそうだ。CVE-2026-26030と25592、プロンプト1発で電卓が起動するレベルの本格的なRCEが2件出たんだ。AIエージェントを業務に組み込んでいる企業は要注意だな。
2026年5月7日、Microsoftが自社のAIエージェント開発基盤「Semantic Kernel」に複数の重大脆弱性が存在することを公表しました。
本記事では、CVE-2026-26030と25592の手口、影響範囲、必要な修正対応をAIエージェント開発者・利用者の視点で解説します。
このまま読み進めれば、AIエージェントが「プロンプト1発でホスト乗っ取り」される具体的な経路と、防御の優先順位が分かります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
今回の脆弱性は、AIエージェントの「ツール呼び出し」を悪用してホスト権限を奪う、新しい型の攻撃面を示しました。
CVE-2026-26030は、デフォルト設定のIn-Memory Vector Storeで使われるフィルタ関数に潜む、安全でない文字列補間とeval呼び出しに起因します。
攻撃者がプロンプトインジェクションを成功させると、AST-traversalペイロードがブロックリストを回避し、計算機(calc.exe)レベルの任意コード実行が「単一プロンプトで成立」する深刻度の高さが報告されています。
主要事実をまとめると以下のとおりです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-26030 |
| 影響範囲 | Python版 semantic-kernel < 1.39.4 |
| 条件 | In-Memory Vector Storeのデフォルト設定+プロンプト注入 |
| 影響 | ホスト上で任意コード実行 |
チップス1つのプロンプトで電卓が起動するなんて……AIエージェントに何を入れても危ないでしゅ!
CVE-2026-25592は、SessionsPythonPluginのDownloadFileAsyncが [KernelFunction] 属性で公開され、ファイルパスの検証なしにAIモデルから操作可能だった点が原因です。
攻撃者は悪意あるスクリプトをWindowsのスタートアップフォルダーに書き込ませ、次回ログイン時にホスト全体を掌握することが可能になります。
影響範囲は.NET版 Semantic Kernel 1.71.0未満で、修正版への更新が必須です。
2件の脆弱性は、AIエージェント特有の「ツール呼び出し」設計上の落とし穴を示しています。
攻撃の核心は、AIエージェントが信頼するツール群を、プロンプト経由で意図しない順序・意図しない入力で呼ばせる点にあります。
ExecuteCodeで悪意あるスクリプトを生成→DownloadFileAsyncで危険な場所に書き込み、という連鎖で本来のサンドボックスを越えてしまうのです。
典型的な悪用ステップは以下のとおりです。
Microsoftは複数の対策を提示しており、修正パッチ適用に加えて、AIエージェント設計面の見直しが推奨されています。
自社でSemantic Kernelを使う日本企業の優先対応は以下のとおりです。
チップスパッチを当てるだけじゃ足りないんでしゅね……
ボスその通りだ。AIエージェントに「何でも呼べるツール」を持たせると、プロンプト1発でシェルになる。設計時から最小権限で組むのが鉄則だな。
Semantic KernelのCVE-2026-26030/25592は、プロンプトインジェクションが従来の「コンテンツ汚染」を越え、コード実行へとつながる現実を示しました。
AIエージェントを業務に組み込む日本企業は、修正版への更新と並行して、ツール公開範囲・ファイル操作権限の最小化を再点検する必要があります。
パッチ適用、KernelFunction属性の見直し、パス検証、エージェントプロセス監視の4本柱で、今すぐ防御を固めましょう。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
