2026年3月10日、MicrosoftはPatch Tuesdayで84件の脆弱性を修正した。その中でCVE-2026-26144は、CVSS 7.5(High)でありながらMicrosoft自身がCriticalと評価した異例の脆弱性である。ExcelのXSS脆弱性とCopilot Agentモードの組み合わせにより、ユーザー操作なし(ゼロクリック)でスプレッドシート内の機密データが外部に転送される──従来のXSS防御フレームワークでは想定されていなかった「AIが攻撃の実行主体となる」新型の脅威モデルである。本記事では、テクノロジーの視点からこの脆弱性の技術的構造を解析し、企業が実装すべき多層防御設計を提示する。
この攻撃は、MCPwned脆弱性研究が体系化したModel Context Protocolの攻撃面と同じ構造的問題を共有している。AIエージェントが外部データを信頼済みコンテキストとして処理する「信頼境界の曖昧化」が、Excelという最も普及したエンタープライズアプリケーションで顕在化した事例である。
CVE-2026-26144の技術的構造 ── XSS×間接プロンプトインジェクションの連鎖攻撃
CVE-2026-26144の本質は、2つの異なる攻撃ベクトルの連鎖にある。第一段階はExcelのレンダリングエンジンにおけるクロスサイトスクリプティング(CWE-79: Improper Neutralization of Input During Web Page Generation)であり、第二段階はCopilot Agentに対する間接プロンプトインジェクションである。
CVSS 3.1ベクトルは AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N と評価されている。ここで注目すべきは UI:N(User Interaction: None)である。従来のXSS脆弱性では、ユーザーが悪意あるリンクをクリックする、あるいはフォームに入力するといった明示的な操作が攻撃のトリガーとなっていた。しかし本脆弱性では、Excelファイルのプレビュー表示やCopilotのバックグラウンドスキャンが自動的にトリガーとなるため、ユーザーの認知なしに攻撃が完了する。
攻撃フローの4段階
第1段階: ペイロード構築。攻撃者は、Excelワークブック内にXSSペイロードと間接プロンプトインジェクション命令を埋め込んだファイルを作成する。XSSペイロードはセルの書式設定、コメント、あるいはOLEオブジェクトのメタデータに隠蔽される。プロンプトインジェクション部分は、Copilot Agentがデータ分析タスクとして解釈する自然言語命令として記述される。
第2段階: 配布とトリガー。ファイルはメール添付、OneDrive共有、SharePointアップロードなど通常のビジネスワークフローで配布される。被害者のシステムがOutlookプレビューペイン、OneDriveサムネイル生成、またはCopilotのバックグラウンド分析でファイルを処理した時点でXSSが発動する。
第3段階: エージェント乗っ取り。XSSペイロードの実行により、Copilot Agentのコンテキストに間接プロンプトインジェクション命令が注入される。Copilot Agentは注入された命令を正規のユーザー指示と区別できず、ワークブック内のデータ収集タスクを自律的に実行する。
第4段階: データ外部転送。Copilot Agentが収集したデータは、攻撃者が制御する外部エンドポイントへHTTPリクエストとして送信される。Agentモードはネットワークアクセス権限を持つため、この転送はExcelプロセスの正規の通信として処理される。
脆弱性診断やペネトレーションテストの実務において、プロトコルやHTTPヘッダ一つの設定ミスが致命的な脆弱性につながるケースは珍しくない。しかし本件では、個別の設定ミスではなく、XSSとAIエージェントという2つのレイヤーの設計上の信頼モデルの不整合が根本原因である。これは従来の脆弱性診断の手法では検出が極めて困難な新しいカテゴリの脅威である。
なぜ従来のXSS防御では対処できないのか ── AIエージェント統合が生む「信頼境界の曖昧化」
従来のXSS対策は、入力のサニタイゼーション(無害化)、Content Security Policy(CSP)ヘッダ、出力エンコーディングの3層で構成される。これらはいずれも「悪意あるスクリプトの実行を防止する」ことを目的としている。しかしCVE-2026-26144のアーキテクチャにおいて、この防御モデルには構造的な限界がある。
問題1: 攻撃の実行主体がスクリプトではなくAIエージェントである。従来のXSSでは、攻撃者が注入したJavaScriptコードがブラウザ上で実行され、Cookie窃取やDOM操作を行う。しかし本攻撃では、XSSはあくまでプロンプトインジェクション命令をAgentコンテキストに注入するための「運搬手段」に過ぎない。実際にデータ収集と外部転送を実行するのはCopilot Agentという正規のアプリケーションコンポーネントである。CSPによるスクリプト実行制限は、Agentの正規機能を制限するものではない。
問題2: 入力の信頼境界が機能しない。Excelワークブックはビジネスにおいて最も信頼度の高いデータソースの一つである。Copilot Agentは設計上、ワークブック内のデータを「信頼済み入力」として処理する。このため、ワークブック内に埋め込まれたプロンプトインジェクション命令は、Agentの信頼境界を正面から通過する。入力バリデーションで対処するには、「このセルの内容はデータか命令か」を判定する必要があるが、自然言語においてこの判別は原理的に困難である。
問題3: 出力チャネルの多重化。従来のXSSでは、外部へのデータ送信はfetchやXMLHttpRequestなどのJavaScript APIを経由するため、ネットワークレイヤーで監視・制限が可能である。しかしAgentモードでは、Copilot独自のAPIチャネルを通じてネットワークアクセスが行われるため、標準的なWebアプリケーションファイアウォール(WAF)では検出できない。
OWASPはLLMアプリケーションのリスクとしてプロンプトインジェクションを「LLM01:2025」に分類しているが、本脆弱性はXSSとプロンプトインジェクションのハイブリッド攻撃であり、Web脆弱性のOWASP Top 10ともLLMリスクのOWASP Top 10とも異なる新たなカテゴリを形成している。2026年1月のarXiv論文「Prompt Injection 2.0: Hybrid AI Threats」はまさにこの融合型脅威を予見していた。
影響範囲の定量的評価 ── Microsoft 365 Copilot導入企業の構造的リスク
CVE-2026-26144の影響範囲は、Microsoft 365 Copilotの普及度と比例して極めて広い。影響を受ける製品は以下の通りである。
| 製品 | 影響バージョン | 修正ビルド |
|---|---|---|
| Microsoft 365 Apps | 全サポート対象バージョン | 2026年3月セキュリティ更新 |
| Office 2024(Retail / LTSC) | Version 2602未満 | Build 19725.20172 |
| Office 2021(Retail / LTSC) | LTSC: Version 2108未満 | Build 14334.20570 |
| Office 2019 | 全バージョン | 2026年3月更新 |
| Office for Android | 全バージョン | 2026年3月更新 |
2026年3月時点でMicrosoft 365の商用ユーザーは4億人を超えており、Copilotライセンスはエンタープライズ契約の標準オプションとして急速に普及している。Copilot Agentモードが有効な環境では、ファイルを開く前の段階でプレビュー処理により攻撃が成立する。これはメールのプレビューペイン、SharePointのドキュメントライブラリ、OneDriveのファイルブラウザなど、日常的なワークフローのあらゆる接点で攻撃面(Attack Surface)が発生することを意味する。
同月のPatch Tuesdayでは、SQL Server CVE-2026-21262特権昇格やNET DoS CVE-2026-26127も修正されており、2026年3月は攻撃面の産業化が加速するターニングポイントとなっている。同日修正されたOffice関連のCVE-2026-26110、CVE-2026-26113もプレビューペイン経由のRCEであり、Officeのプレビュー機能がシステム的な弱点として認識されつつある。
SOC(Security Operations Center)の運用実務においては、ツールの導入よりもアラートから判断に至るまでの人間のプロセスが価値を生む。しかしゼロクリック攻撃は、そもそもアラートが発生しない可能性がある。Copilot Agentの通信が正規のOfficeテレメトリと同一チャネルを使用する場合、既存のSIEMルールでは異常として検出されない。これはSOC運用のパラダイムを根底から揺るがす。
先行事例との比較 ── EchoLeakからCVE-2026-26144への脅威の進化
CVE-2026-26144は孤立した脆弱性ではない。Microsoft 365 Copilotに対する攻撃研究は、少なくとも2025年中盤から段階的にエスカレーションしている。
EchoLeak(2025年5月修正)。Microsoft 365 Copilotに対するゼロクリックプロンプトインジェクション攻撃。メール本文に隠された指示がCopilotにデータを外部画像URLへ送信させる。Microsoftはサーバーサイドで修正を適用した。攻撃ベクトルは間接プロンプトインジェクションのみで、XSSとの連鎖はなかった。
Reprompt Attack(2026年1月公開)。Microsoft Copilotのエンタープライズセキュリティ制御をバイパスしてデータ外部転送を行う手法が研究者により実証された。シングルクリックが必要であり完全なゼロクリックではなかったが、Copilotのセキュリティバウンダリの脆弱性を明確に示した。
CVE-2026-26144(2026年3月修正)。EchoLeakとReprompt Attackの知見を統合・進化させた攻撃ベクトルである。XSSを入口として使用することで、メール以外の配布チャネル(OneDrive、SharePoint、ファイル添付)に攻撃面を拡大し、かつ完全なゼロクリックを実現した。
この進化パターンは、PleaseFix脆弱性が暴いたエージェンティックブラウザの構造的欠陥と同一の問題構造を持つ。AIエージェントがユーザーの権限で外部リソースにアクセスする設計そのものが、「正規機能の悪用」という新しい攻撃カテゴリを生み出している。
| 攻撃手法 | 発見/修正時期 | ユーザー操作 | XSS連鎖 | 攻撃面 |
|---|---|---|---|---|
| EchoLeak | 2025年5月 | 不要(ゼロクリック) | なし | メール |
| Reprompt Attack | 2026年1月 | シングルクリック | なし | Copilot UI |
| CVE-2026-26144 | 2026年3月 | 不要(ゼロクリック) | あり | Excel全配布チャネル |
10ヶ月間で攻撃手法が3段階に進化しているという事実は、AIエージェントの攻撃面研究が「発見フェーズ」から「産業化フェーズ」に移行しつつあることを示唆している。
多層防御設計 ── 企業が今すぐ実装すべき5つの対策
CVE-2026-26144のパッチ適用は最低限の対応である。しかし、同種の攻撃が今後も出現することを前提とした構造的な防御設計が不可欠である。以下に、企業が実装すべき多層防御のフレームワークを提示する。
Layer 1: パッチ管理の即時適用
Office 2024 Retail/LTSCはBuild 19725.20172以降、Office 2021 LTSCはBuild 14334.20570以降に更新する。Microsoft 365 Appsは自動更新が有効であれば2026年3月のセキュリティ更新が適用される。パッチ適用状況の可視化には、Microsoft Intune ComplianceやWSUSレポートを活用する。ただし、これは既知の脆弱性に対する事後対応であり、次のゼロデイに対しては無力である。
Layer 2: Agentモードの権限制限
Copilot Agentモードのネットワークアクセス権限を最小権限の原則に基づいて制限する。具体的には以下の設定を推奨する。
- 外部URL呼び出しのホワイトリスト化: Copilot Agentが通信可能な外部ドメインを、Microsoft公式サービスのみに制限する
- データ転送量の閾値設定: 単一セッションでAgentが外部転送できるデータ量に上限を設ける
- Agentモードの条件付き有効化: 信頼されたファイル(組織内作成・署名済み)に対してのみAgentモードを有効化し、外部から受信したファイルではAgentモードを無効化する
Layer 3: アウトバウンド通信の監視と制御
Excelプロセス(EXCEL.EXE / Microsoft Excel.app)からのアウトバウンド通信を、エンドポイントレベルとネットワークレベルの双方で監視する。
- EDRルール: Excelプロセスから未知の外部ドメインへのHTTP/HTTPS通信をアラート対象とする
- プロキシ/CASB: Office系プロセスの通信をインラインで検査し、ワークシートデータのパターンを含むペイロードを検出する
- DNS監視: Excelプロセスが解決するドメインのベースラインを構築し、逸脱を検知する
Layer 4: プロンプトインジェクション対策
Copilotが処理する入力に対して、プロンプトインジェクション検知レイヤーを設ける。
- 入力フィルタリング: ワークブック内のテキストコンテンツを前処理し、命令的パターン(「send to」「transfer data to」「access URL」等)を検出・警告する
- コンテキスト分離: ユーザーの明示的な指示と、ドキュメントから読み取られたテキストを、Agentの処理パイプライン内で明確に分離する。これはMicrosoft自身がCopilot Trust Boundaryとして実装を進めている機能である
- 確認プロンプト: Agentが外部通信を実行する前に、ユーザーに確認ダイアログを表示する。ゼロクリック攻撃の最も直接的な対策である
Layer 5: 組織的対策とインシデント対応
セキュリティ戦略は、ビジネスの制約を理解した上でないと実効性を持たない。Copilotの業務効率化メリットを維持しながら、以下の組織的対策を実施する。
- Copilotセキュリティポリシーの策定: 「AIエージェントが処理してよいデータの範囲」を明文化する。機密性分類(Confidential/Internal/Public)に基づき、Agentモードでアクセス可能なデータレベルを定義する
- インシデントレスポンス手順の更新: 「AIエージェント経由のデータ漏洩」をインシデント類型に追加し、対応フロー・エスカレーションパスを定義する
- Red Team演習: プロンプトインジェクション×XSS連鎖のシナリオを含むペネトレーションテストを定期実施する
- ユーザー教育: 「不審なExcelファイルを開かない」だけでなく、「プレビューでも攻撃が成立する」ことを周知する
今後の脅威予測 ── AIエージェント統合が拡大する攻撃面
CVE-2026-26144はExcel×Copilotの組み合わせだが、同種の攻撃パターンはAIエージェントを統合するあらゆるアプリケーションに適用可能である。Word、PowerPoint、Outlook、TeamsなどMicrosoft 365ファミリー全体、さらにはGoogle Workspace(Gemini統合)やAdobe(Firefly統合)など、AIエージェント統合を進めるすべてのプロダクティビティスイートが同じ構造的リスクを内包する。
OWASP Gen AI Security Projectが定義するLLM01(Prompt Injection)は、2025年版でも引き続きリスクランキングの第1位を維持している。間接プロンプトインジェクションの定義──「LLMが外部ソースからの入力を受け入れ、その入力がモデルの動作を変更するコンテンツを含む」──は、CVE-2026-26144が攻撃したメカニズムそのものである。
今後予想される攻撃の進化方向として、以下の3つのベクトルを指摘する。
1. マルチアプリケーション連鎖。Excelで起動したAgentが、Outlook経由でメールを送信し、Teams経由でデータを共有するといった、複数アプリケーションをまたぐ攻撃チェーン。Microsoft Graph APIを通じたAgentの権限拡大が攻撃面を指数関数的に拡大させる。
2. サプライチェーン型プロンプトインジェクション。取引先や協力会社から受領する正規のビジネス文書にプロンプトインジェクション命令を埋め込む攻撃。信頼されたソースからのファイルはセキュリティフィルタを通過しやすく、検出が極めて困難である。
3. 自律型Agent対Agentの攻撃。防御側のAIセキュリティAgentに対しても同様のプロンプトインジェクションが有効となる可能性がある。CrowdStrike×NVIDIAの自律AIエージェントブループリントが示すように、セキュリティ自体のAI化が進む中で、「AIで守り、AIで破る」という攻防の対称性が生じる。
FAQ
CVE-2026-26144はどのような条件で悪用されるのか?
攻撃者が作成した悪意あるExcelファイルが被害者のシステムでプレビュー表示またはCopilotのバックグラウンドスキャンで処理されると、ユーザー操作なしで攻撃が成立する。Copilot Agentモードが有効なMicrosoft 365環境が対象であり、メール添付、OneDrive共有、SharePointアップロードなど通常のビジネスワークフローが攻撃経路となる。
パッチを適用すればこの脆弱性は完全に防御できるのか?
2026年3月のPatch Tuesday更新でCVE-2026-26144自体は修正される。しかし、XSS×プロンプトインジェクションの連鎖攻撃パターンは構造的な問題であり、同種の新たな脆弱性が発見される可能性がある。パッチ適用に加え、Agentモードの権限制限、アウトバウンド通信監視、プロンプトインジェクション対策の多層防御が推奨される。
Copilot Agentモードを無効化すべきか?
業務でCopilot Agentモードを使用していない場合は、セキュリティ上無効化が最も確実な対策である。使用している場合は、外部通信のホワイトリスト化、信頼されたファイルのみでのAgent有効化、データ転送量の閾値設定など、最小権限の原則に基づいた制限を実装することで、利便性とセキュリティのバランスを取ることが可能である。
従来のWAFやEDRでこの攻撃を検知できるのか?
従来のWAFはWebアプリケーションの入出力を対象とするため、Copilot Agent経由のデータ転送は検知対象外となる。EDRについては、Excelプロセスからの異常なアウトバウンド通信を検知するカスタムルールを作成することで一定の検知が可能だが、正規のOfficeテレメトリとの区別が課題となる。CASBやプロキシでのインライン検査との併用が効果的である。
この脆弱性はmacOSやモバイル環境にも影響するのか?
Microsoftの公式アドバイザリでは、Windows版とmacOS版の双方が影響を受けるとされている。Office for Androidも影響範囲に含まれる。Copilot Agent機能が実装されているプラットフォームすべてが潜在的な攻撃面となるため、プラットフォームを問わず2026年3月のセキュリティ更新を適用する必要がある。
参考文献
- CVE-2026-26144 Security Vulnerability — Microsoft Security Response Center, 2026年3月10日
- The March 2026 Security Update Review — Zero Day Initiative, 2026年3月10日
- Microsoft March 2026 Patch Tuesday fixes 2 zero-days, 79 flaws — BleepingComputer, 2026年3月10日
- Microsoft Excel security flaw teams up spreadsheets and Copilot Agent to steal data — TechRadar, 2026年3月
- LLM01:2025 Prompt Injection — OWASP Gen AI Security Project, 2025年
- Prompt Injection 2.0: Hybrid AI Threats — arXiv, 2026年1月
- Indirect Prompt Injection: The Hidden Threat Breaking Modern AI Systems — Lakera AI
- Your AI Copilot Is the Newest Attack Surface — Barrack AI
