データ基盤Snowflakeのコマンドツールに乗っ取りの脆弱性 CVE-2026-13749、不正プロジェクトのビルドで危険、v3.19.0へ更新を

企業のデータ分析で広く使われるクラウドサービス「Snowflake（スノーフレイク）」の公式コマンドツール「Snowflake CLI」に、深刻な脆弱性が見つかりました。細工されたプロジェクト一式をビルド（組み立て）したりデプロイ（配置）したりするだけで、操作している人のパソコン上で攻撃者のプログラムが動いてしまう（任意コード実行）欠陥です。共通脆弱性番号は CVE-2026-13749、深刻度はCVSS 8.8（10点満点）。開発元のSnowflakeは セキュリティ情報を公開し、バージョン 3.19.0 で修正しました。

Snowflake CLIは、データ担当者やエンジニアが自分のパソコンから手元のコマンド（snow）でSnowflake上のアプリやデータ処理を組み立て、配置するための道具です。今回の穴は、ログインなどの特別な権限を必要とせず、「他人が用意したプロジェクトを自分の環境でビルドする」という日常作業が引き金になる点が厄介です。攻撃者が直接Snowflakeのサーバーを攻めるのではなく、開発者の手元の作業を踏み台にします。

※修正版3.19.0への更新は自動では行われず、利用者が手動で上げる必要があります（リリースノート）。

この欠陥は誰に、どんな被害をもたらすのか

この穴を突けるのは、罠を仕込んだSnowflakeのプロジェクト一式を、データ担当者にビルドさせたりデプロイさせたりできる立場の攻撃者です。具体的には、公開リポジトリに置いた便利そうなサンプルやテンプレート、技術記事に添えた検証用プロジェクト、業務委託先からの納品物、チーム内で共有される雛形など、誰かが作ったプロジェクトを自分の環境で動かす場面が当てはまります。攻撃者はSnowflakeのアカウントもログインも必要とせず、プロジェクトのファイルに仕掛けを混ぜておくだけです。

仕掛けの中身はこうです。プロジェクトの内容を、Snowflake CLIが内部で自動生成するプログラムに不正に紛れ込ませ、ビルドやデプロイの瞬間に攻撃者のコードを実行させます。CLIは、データ処理（Snowpark）の準備のために裏側でPythonのコードを組み立てますが、その材料となるプロジェクトの記述を十分に無害化していなかったため、攻撃者の命令がそのまま生成コードに混ざって動いてしまいます。実行は、その作業をしている利用者の権限で起こります。

被害の本質は、データ基盤を扱う担当者のパソコンそのものが乗っ取られることです。こうした端末には、Snowflakeへの接続情報やアクセストークン、クラウドの鍵、大量データを取り出せる権限が集まっています。一台抜かれれば、そこを足がかりにデータ基盤へ侵入され、機密データの持ち出しや、配布物への不正コード混入（サプライチェーン汚染）にまで広がりかねません。開発・運用の道具を経由する攻撃である点で、依存しているソフトの安全をまとめて見直す必要性を示す一件です。当サイトのOSSサプライチェーン スキャナーでも、この種の「土台ソフトの弱点」を点検する大切さを扱っています。データ処理基盤のコマンドツールが乗っ取りの入口になる構図は、ワークフロー基盤「Prefect」で起きたCVE-2026-5366とも同じ系統です。

Snowflakeとそのコマンドツールとは何か

Snowflakeは、大量のデータをクラウド上にためて高速に分析するためのサービス（クラウドデータプラットフォーム）です。多くの企業が売上分析や顧客データの集計、機械学習の土台として導入しています。その上で動くアプリやデータ処理を組み立てる仕組みのひとつが「Snowpark」で、PythonなどでデータをSnowflake内で加工できます。

「Snowflake CLI」は、これらの作業を手元のコマンド（snow）から行うための公式ツールです。プロジェクトを組み立てる「ビルド」、Snowflakeへ配置する「デプロイ」などをコマンド一発で実行できます。自分が対象かどうかは、ツールのバージョンを snow --version で確認し、3.19.0 より古いかどうかで判断できます。影響を受けるのは2.4.0から3.19.0より前のバージョンです。Snowflakeを業務で扱うデータエンジニアやアナリティクス担当者が主な対象になります。

どうやって乗っ取りに至るのか

Snowflake CLIは、Snowparkのデータ処理を準備する際、プロジェクトに書かれた情報をもとに「橋渡し役」のPythonコードを自動生成します（注釈処理＝annotation processorの仕組み）。本来、プロジェクト側に書かれた値は「データ」として安全に扱われるべきですが、今回はその値を生成コードの一部としてそのまま組み込んでいたため、攻撃者が値の中にプログラムの断片を仕込むと、それが正規のコードの一部として実行されてしまいました。これが「コードインジェクション」（CWE-94）と呼ばれる典型的な弱点です。

引き金になるのは、攻撃者が用意したプロジェクトに対して、利用者が snow でビルドやデプロイを実行する操作です。Snowflakeの説明によれば、悪用には「攻撃者の管理下にあるプロジェクト内容に対してビルド・デプロイの作業を走らせること」が条件になります。逆に言えば、自分や信頼できるチームが作ったプロジェクトだけを扱っているなら、直ちに攻撃が成立するわけではありません。修正版の3.19.0では、生成コードに混入しないよう値の取り扱いが見直されました。なお、ひとつ前の3.18.0でも注釈処理まわりの取り扱いが改善されており、最新版へ上げておくのが安全です。

いま何をすべきか

最優先はSnowflake CLIの更新です。修正版の3.19.0は自動では適用されないため、手元で手動で上げる必要があります。インストール方法に応じて、pip install --upgrade snowflake-cli などで更新し、snow --version で3.19.0以上になっていることを確認してください。CI/CD（自動ビルド・配信の仕組み）の中でSnowflake CLIを使っている場合は、そこで使われるバージョンも忘れずに上げます。

すぐに更新できない場合の当面の守りは、出どころの分からないSnowflakeプロジェクトを安易にビルド・デプロイしないことです。受け取ったプロジェクトは中身を確認し、信頼できないものは隔離した環境（使い捨ての仮想マシンやコンテナ）で扱うと被害範囲を抑えられます。組織で多数の担当者がSnowflake CLIを使っている場合は、まずどの端末・どの自動処理が古い版のままかを洗い出し、優先して更新するとよいでしょう。

まとめ

CVE-2026-13749は、Snowflakeの公式コマンドツール「Snowflake CLI」にあったコードインジェクションの欠陥です。攻撃者が細工したプロジェクトを利用者がビルド・デプロイすると、自分のパソコン上で攻撃者のプログラムが動き、乗っ取りに至り得ます。修正版の3.19.0が公開済みで、更新は手動が必要なため、まずは自分の環境のバージョン確認と更新が要点です。

他人が作ったプロジェクトを自分の環境で動かすのは、データ分析や開発の日常です。だからこそ、ツールを最新に保つことと、信頼できないプロジェクトを安易に動かさない習慣の両方を、この機会に見直しておきたいところです。

よくある質問

参照元

• ・NVD — CVE-2026-13749
• ・Snowflake — Snowflake CLI Vulnerability Advisory
• ・snowflake-cli — リリースノート（3.19.0）
• ・snowflake-cli — プロジェクト
• ・Snowflake — Snowflake CLI ドキュメント
• ・MITRE — CWE-94（コードインジェクション）