今回のXSSは、Webページ生成時における入力値の無害化処理が不適切であったことに起因するとみられる。Action1のアレックス・ヴォフクCEOは、「この脆弱性が悪用されれば、攻撃者は目立ったアラートを出すことなく、社内システムから機密情報を密かに抜き取ることが可能になります」と警告した。
advertisement
強いて良いニュースを挙げるなら、CVE-2026-26144の悪用には攻撃者が事前にネットワークアクセスを確保している必要がある点だ。だが悪いニュースとして、そうしたアクセスの取得は──読者も十分承知だろうが──決してハードルの高いものではない。
現在のAIエージェント支援型の生産性向上ブームに乗っている利用者にとって、攻撃対象領域はさらに広がっていると言わざるを得ない。ヴォフクによれば、こうした自動化エージェントは「意図せず機密データを企業の管理境界の外に送信してしまう可能性がある」という。
CVEの脆弱性・脅威インテリジェンスのハブサイトは、すべてのユーザーに対し次の対策を推奨している。
advertisement
Microsoft Excelを最新バージョンに更新すること。ユーザーが入力するすべてのデータに対して堅牢な入力値検証(想定外の文字列やコードが紛れ込んでいないかチェックする仕組み)を実施すること。Webページに表示されるデータを無害化(悪意あるスクリプトとして動作しないよう処理)すること。そしてHTMLとして表示する前にデータをエンコード(特殊文字をブラウザが命令と誤解しない安全な形式に変換)することとなる。
