情報漏洩の脆弱性が「Critical(深刻)」と評価されることはめったにないが、例外は常に存在する──セキュリティ専門家はそう警告してきた。
マイクロソフトが認めたところによれば、Excelユーザーに影響するクロスサイトスクリプティング(XSS)の脆弱性CVE-2026-26144は、「未認証の攻撃者がネットワーク経由で情報を漏洩させることを可能にする」ものであり、まさにその例外の一つだ。
特に注目すべきは、いま最もホットな話題であるAIセキュリティがらみの興味深い要素を含んでいる点だ。「この脆弱性の悪用に成功した攻撃者は、Copilotのエージェントモードを操作し、意図しないネットワーク経路を通じてデータを外部に流出させる可能性がある。これにより、ゼロクリック(ユーザー操作を一切必要としない)の情報漏洩攻撃が成立する」と、MSRC(マイクロソフト・セキュリティ・レスポンス・センター)の勧告は述べている。
「攻撃者はCopilotエージェントにターゲットからデータを持ち出させることができる」
マイクロソフトが直近のPatch Tuesday(毎月第2火曜日の定例セキュリティ更新)で配信したアップデートには、SQL Serverユーザーに影響するゼロデイ脆弱性も含まれていた。この脆弱性CVE-2026-21262は、CVSS(共通脆弱性評価システム)で「深刻」の評価にはわずかに届かず、マイクロソフトからは「Important(重要)」にとどまった。一方、CVE-2026-26144はゼロデイではないものの、マイクロソフトが「深刻」と指定したのは十分に妥当性がある。
Trend AIのZero Day Initiativeで脅威啓発部門の責任者を務めるダスティン・チャイルズは、この脆弱性自体はXSSと通称される比較的単純なクロスサイトスクリプティングのバグだとしたうえで、「攻撃者はこれを利用して、Copilotエージェントにターゲットからデータを持ち出させることができます」と指摘した。チャイルズはこれを「興味深い」と表現すると同時に、「今後ますます頻繁に目にするようになるであろう攻撃シナリオです」と述べた。控えめに言っても深刻な問題である。「ゼロクリックの情報漏洩」というフレーズだけで、Excelユーザーなら誰でも背筋が凍るはずだ。
