XSSとプロンプトインジェクションXSSとプロンプトインジェクション ─ ExcelとCopilotエージェントを悪用した攻撃 2026年3月のMicrosoft月例パッチで修正されたCVE-2026-26144について。この脆弱性はExcelのWebレンダリングパイプラインにおける入力サニタイズの不備(CWE-79)を利用した攻撃です。この脆弱性にCopilotエージェントが乗っかることでゼロクリックの情報漏洩という全く別の話になるというのが新しいポイントです。 1. 何が起きたのか 改めて、CVE-2026-26144はMicrosoft ExcelのWebレンダリングパイプラインにおける入力サニタイズの不備(CWE-79)で、CVSSスコアは7.5(High)です。MicrosoftはAggregate Severityとして「Critical」評価を付けました。CVSSは技術的な攻撃ベクターを数値化するもので、AI
