2026年2月10日、MicrosoftはGitHub Copilotに存在する2件の重大なコマンドインジェクション脆弱性(CVE-2026-21256およびCVE-2026-21516)を公開した。いずれもCVSSスコア8.8(High)であり、認証不要でリモートコード実行(RCE)が可能である。AIコーディングアシスタントの爆発的普及が進む中、開発環境そのものが攻撃対象となる新たなリスクが浮き彫りになった。本記事では、これらの脆弱性の技術的背景と、AI IDE全体に広がる構造的な攻撃面を分析する。

CVE-2026-21256 / CVE-2026-21516 ── 2件の重大コマンドインジェクション

2026年2月のMicrosoftセキュリティアップデートで公開された2件の脆弱性は、いずれもGitHub Copilotのバックエンド処理に起因するコマンドインジェクションである。CVE-2026-21256はGitHub CopilotおよびVisual Studioの双方に影響し、CVE-2026-21516はGitHub Copilot単体に影響する。

両脆弱性の根本原因は共通している。ユーザーから受け取った入力データが適切にサニタイズされないまま、システムコマンドインタプリタに渡される点である。セミコロン、パイプ、バッククォートなどのシェルメタ文字を注入することで、攻撃者はCopilotサービスユーザーの権限で任意のコードを実行できる。

とりわけ深刻なのは、いずれの脆弱性も認証を必要としない点である。ネットワークアクセスさえあれば未認証の攻撃者が悪用可能であり、攻撃の複雑性も「Low」と評価されている。開発者のワークステーションが直接侵害されるリスクがあり、ソースコードの窃取やサプライチェーン攻撃への足がかりとなり得る。

CVE-2025-53773が示した先行事例 ── プロンプトインジェクションからRCEへ

GitHub Copilotの脆弱性は今回が初めてではない。2025年8月に修正されたCVE-2025-53773は、プロンプトインジェクションを経由してRCEに至る攻撃チェーンを実証した先駆的な事例である。

この脆弱性では、攻撃者がソースコードのコメントやGitHub Issue、Webページに悪意のある指示を埋め込み、Copilot Agent Modeにワークスペースの.vscode/settings.jsonを書き換えさせる。具体的には"chat.tools.autoApprove": trueを設定させることで、いわゆる「YOLOモード」を有効化し、以降のシェルコマンド実行をユーザー承認なしで自動実行させる手法であった。

セキュリティ研究者はこの攻撃で侵害された開発者マシンを「ZombAIs」と名付けた。AIに制御されたボットネットノードとして遠隔操作される状態を指す。さらに、不可視のUnicode文字を用いた指示埋め込みも実証されており、開発者の目視レビューでは検出が困難なケースも存在する。Microsoftは2025年8月のPatch Tuesdayでこの脆弱性を修正し、セキュリティ関連の設定変更にはユーザー承認を必須とする対策を講じた。

AI IDE全体に広がる構造的脆弱性 ── IDEsasterと69件の欠陥

GitHub Copilotの問題は氷山の一角に過ぎない。2025年12月にセキュリティ研究者Ari Marzouk氏が公表した「IDEsaster」レポートでは、Cursor、Windsurf、Kiro.dev、Zed.dev、Roo Code、Junie、Clineなど主要なAI IDEおよび拡張機能に30件以上の脆弱性が発見された。プロンプトインジェクションを起点としたデータ窃取やRCEが広範囲に確認されている。

さらに、2025年12月のTenzaiの調査では、Claude Code、Cursor、Windsurf、Replit、Devinの5つのAIコーディングプラットフォームで15のテストアプリケーションから合計69件の脆弱性が発見された。このうち6件が「Critical」に分類されている。注目すべきは、従来のセキュリティスキャナーがこれらの脆弱性を1件も検出できなかった点である。AIツールはSQLインジェクションやXSSといった古典的な脆弱性は回避する一方、認可ロジックやビジネスロジックの欠陥を生成するという構造的な弱点が明らかになった。

MCP(Model Context Protocol)サーバーにおいても同様の問題が顕在化している。2026年1月にはAnthropicの公式mcp-server-gitで3件の脆弱性が公開された。分析によれば、MCPサーバーの67%がコードインジェクション(CWE-94)関連のAPIを、34%がコマンドインジェクション(CWE-78)関連のAPIを使用しているとされる。

開発環境を守るための実践的対策

AIコーディングツールの脆弱性に対して、開発者と組織が取るべき対策は多層的である。まず最も基本的かつ重要なのは、GitHub Copilot、Visual Studio、および使用中のAI IDE拡張機能を常に最新バージョンに更新することである。CVE-2026-21256およびCVE-2026-21516に対するパッチが公開され次第、即時適用が求められる。

AIエージェントに付与する権限は最小権限の原則に基づいて制限すべきである。特に、ファイルシステムへの書き込み権限やシェルコマンドの自動実行は、明示的な承認フローを維持することが重要である。「YOLOモード」のような全承認スキップ設定は、いかなる場合も本番環境では使用すべきではない。

MCPサーバーの接続先は信頼できるものに限定し、接続状況を継続的に監視する。コマンド実行にはサンドボックスを使用し、エグレスフィルタリングによって不正な外部通信を検知する体制を構築することが望ましい。また、AIが生成したコードに対しては、従来のスキャナーでは検出困難な認可ロジックの欠陥を重点的にレビューする必要がある。

FAQ

CVE-2026-21256とCVE-2026-21516の違いは何か?

CVE-2026-21256はGitHub CopilotとVisual Studioの両方に影響するコマンドインジェクション脆弱性である。CVE-2026-21516はGitHub Copilot単体に影響する。いずれもCVSSスコア8.8で、未認証のRCEが可能である。

GitHub Copilotを使い続けても安全か?

パッチが適用された最新バージョンを使用し、自動承認設定を無効化していれば、基本的なリスクは軽減される。ただし、プロンプトインジェクション経由の攻撃は信頼できないコードやIssueの閲覧時に発生し得るため、信頼できないリポジトリでのAgent Mode使用には注意が必要である。

プロンプトインジェクションからRCEに至る攻撃はどのように防げるか?

AIエージェントのファイル書き込み・コマンド実行権限を最小限に制限し、設定変更やシェル操作には必ずユーザー承認を要求する構成にすることが最も効果的である。加えて、サンドボックス環境でのコード実行やエグレスフィルタリングの導入が推奨される。

AI IDEの脆弱性は従来のセキュリティスキャナーで検出できるか?

Tenzaiの調査では、5つのAIコーディングプラットフォームで発見された69件の脆弱性のうち、従来のスキャナーが検出できたのは0件であった。AIツールが生成する認可ロジックやビジネスロジックの欠陥は、手動レビューや専用のセキュリティテストが必要である。

参考文献