すべての古い脆弱性は今やAI脆弱性である

出典：Martin Bergsma via Alamy Stock Photo

意見

2026年3月10日、MicrosoftはCVE-2026-26144というExcel内のクロスサイトスクリプティング（XSS）脆弱性にパッチを当てました。Office内のセキュリティホールは新しいものではありませんが、このセキュリティホールが異なる点は、スクリプト実行後に何が起こるかです。

この脆弱性はCopilot Agentモードとチェーンしています。攻撃者は悪意のあるペイロードをExcelファイルに埋め込みます。ユーザーがそれを開くと、ユーザーが何もクリックすることなくセキュリティホールが発火します。ただし、セッションクッキーを盗んだりユーザーをフィッシングサイトにリダイレクトしようとするほとんどのセキュリティホール攻撃とは異なり、この攻撃はCopilot Agentをハイジャックし、スプレッドシートからのデータを攻撃者が管理するエンドポイントにサイレントに流出させます：ユーザーインタラクションなし、何かが起きたことを示す視覚的なプロンプトなし。AIが流出を代行するのです。

Zero Day InitiativeのDustin Childsはそれを「魅力的なバグ」と呼び、この攻撃シナリオがより一般的になるだろうと警告しました。それは本当ですが、過小評価です。これは単なる1つのバグではなく、AIエージェントの機能を活用する新しい波のエクスプロイトの開始を示しています。

30年間、私たちはセキュリティホールをXSS、SQLインジェクション、バッファオーバーフロー、パストラバーサルなどのタイプで分類してきました。これらの分類に基づいて、検出ルール、パッチの優先度、開発者へのトレーニングを構築します。メンタルモデルは、セキュリティホールのカテゴリが影響を決定するというものです：セキュリティホールはクッキーを盗み、SSRFは内部データを漏らし、コマンドインジェクションはシェルアクセスを付与します。

AIエージェントはこのモデルを破りました。AIエージェントがアプリケーション内で動作するとき、すべての従来のセキュリティホールは新しい機能を獲得します：自律的なアクション。以前クッキーを盗んでいたセキュリティホールは、Copilotに指示してワークブック内のすべてのセルを読み、その内容を外部URLに投稿することができます。潜在的な被害はもはやエクスプロイトコードができることによって制限されません。これはAIエージェントに付与されたアクセス許可によって制限されます。

本番環境から学んだ最も難しいレッスンは、アプリケーションとそのAIエージェント間の信頼境界が実質的に存在しないということです。ExcelのCopilot AgentはExcelが行うことのためにデータを読み、分析し、送信することができます。「Excelがアクセスできるもの」と「Copilotがそのアクセスで何ができるか」の間に別のアクセス許可層はありません。アプリケーションが危険にさらされると、AIは自動的に危険を継承します。

この概念は私が「権限増幅」と呼ぶものです。バグはエントリポイントとして機能し、AIは武器として機能します。ブラスト半径はエクスプロイトの技術的能力ではなく、AIエージェントのアクセススコープによって決定されます。

パッチ適用を超えてできること

CVE-2026-26144にパッチを当てるべきです。これは穴を塞ぐために必要な最小限です。アーキテクチャの問題は、AIエージェントまたはアシスタントを組み込むすべてのアプリケーション全体で持続します。

CVE-2026-26144はパッチが適用されます。人々は先に進むでしょう。パターンはそうではありません。埋め込みAIエージェントを出荷するすべてのアプリケーションは、分類法、検出ルール、リスクモデルが対応するように設計されていなかった新しいクラスのエクスプロイト後の機能を作成しています。エージェントAI時代は新しいタイプのセキュリティホールを作成しませんでした。代わりに、すべての既存のものを増幅しました。このトレンドを認識するセキュリティチームは、それに応じて優先度を付け直します。そうしない人たちは、AI増幅されたエクスプロイトを中程度重大度のセキュリティホールとして分類し続けるでしょう。

最新のDark Reading Confidentialポッドキャストをお見逃しなく、セキュリティボスはAIに夢中である：その理由。RedditのCISO Fredrick LeeとOmdiaアナリストDave Gruberがカル内のAIと機械学習、成功した展開方法（またはそうでない方法）、AIセキュリティ製品の将来について議論しています。今すぐ聴く！