- マイクロソフトの最新 Patch Tuesday リリースが 83 個の脆弱性を修正
- AI 駆動型のゼロクリック データ窃取を可能にする Excel バグを含む
- Copilot アシスタント経由での情報流出をブロックするための更新が推奨される
2026 年 3 月の Patch Tuesday リリースでは、Microsoft が Excel の重大度の高い脆弱性を修正しました。この脆弱性は、従来のクロスサイトスクリプティング (XSS) と間接プロンプトインジェクションを組み合わせて、人工知能 (AI) によるデータ流出を可能にするものです。
AI が古い脆弱性に新たな側面をもたらしたため、セキュリティ研究者の中には「興味深い」と表現する者もいました。そして「ゼロクリック」攻撃であることも、状況を悪化させています。
Microsoft のセキュリティアドバイザリーでは、このバグを「入力の不適切な無害化」脆弱性と説明しており、ウェブページ生成中に発生し、不正な攻撃者がネットワーク経由で情報を開示することを可能にします。現在 CVE-2026-26144 として追跡されており、重大度スコア 7.5/10(高)が与えられました。
記事の続きはこちら
パッチと回避策
このバグは、Excel が入力を適切に無害化できていないことに関するものです。通常、脅威行為者が悪意のあるリンクを含む Excel ファイルなどを送信した場合、プログラムはそのリンクを削除するか悪意のあるコンテンツを削除することによって入力を無害化する必要があります。しかし、プログラムがこれを適切に実行していないため、被害者がファイルを実際に開かずにプレビューペインで表示するだけでも、入力が実行される可能性があります。
ここに AI を加えましょう。新しいバージョンの Excel には、Microsoft の GenAI アシスタント Copilot が搭載されています。悪意のある入力が AI に機密データをサードパーティのサーバーに流出させるよう指示し、Excel がそれをタイムリーに無害化しない場合、プレビューペインからでもタスクが実行される可能性があります。
最善の方法は、単に更新をデプロイすることです。ただし、すぐに実行できない場合は、Office アプリケーションからのアウトバウンドトラフィックを制限し、Excel プロセスからのネットワークリクエストを注視してください。Copilot Agent を無効にすることも役立つ場合があります。
このバグが見出しを独占していますが、今月のパッチで対処されるのはこれだけではありません。実際、Microsoft は合計 83 個の脆弱性をクリーンアップしており、そのうち 8 個はソフトウェアメーカーが重大と判断したものです。
出典:The Register
もちろん、あなたもTikTok で TechRadar をフォローしてニュース、レビュー、ビデオ形式のアンボックスを確認し、以下で定期的な更新を受け取ることもできますWhatsAppでも。
