CAD『Autodesk Fusion』に乗っ取りの欠陥 CVE-2026-10789、更新を
設計でよく使われるCAD「Autodesk Fusion」のデスクトップ版に、危険度9.6の重大な欠陥が見つかりました。AI連携の「MCP拡張」を有効にしていると、悪意あるWebページを開くだけでパソコン上で勝手にプログラムを実行され、設計データの盗難や乗っ取りにつながります。対象は2703.1.20より前の版で、修正版への更新が急務です。
堀川 慎
Backend Engineer / AWS / Django / Go
設計でよく使われるCAD「Autodesk Fusion」のデスクトップ版に、危険度9.6の重大な欠陥が見つかりました。AI連携の「MCP拡張」を有効にしていると、悪意あるWebページを開くだけでパソコン上で勝手にプログラムを実行され、設計データの盗難や乗っ取りにつながります。対象は2703.1.20より前の版で、修正版への更新が急務です。
設計・ものづくりの現場で広く使われるCADソフト「Autodesk Fusion(オートデスク・フュージョン)」のデスクトップ版に、危険度の高い欠陥が見つかりました。共通の脆弱性識別番号は CVE-2026-10789、深刻度を示すCVSSスコアは9.6(最も深刻なCriticalの一歩手前で、上から2番目の「重大」水準)です。Autodeskの公式アドバイザリ(adsk-sa-2026-0008)は2026年6月22日付で公開されました。
問題の条件は具体的です。Autodesk Fusionのデスクトップ版を起動し、かつ「MCP拡張」と呼ばれる機能を有効にしている状態で、攻撃者が用意した悪意のあるWebページを開いてしまうと、そのパソコン上で攻撃者の用意したプログラムが実行されてしまいます。実行は今ログインしている利用者の権限で行われます。対象は2703.1.11以上2703.1.20未満で、修正版の2703.1.20が公開されています。
| 対象ソフト | Autodesk Fusion デスクトップ版 |
| 脆弱性番号 | CVE-2026-10789(adsk-sa-2026-0008) |
| 深刻度 | CVSS 9.6(Critical) |
| 影響を受ける版 | 2703.1.11 〜 2703.1.20 未満 |
| 修正された版 | 2703.1.20 以降 |
| 必要な条件 | MCP拡張が有効 + 悪意あるページを開く |
| 公開日 | 2026年6月22日 |
この欠陥は誰に、どんな被害をもたらすのか
狙われるのは、Autodesk Fusionで仕事をしている設計者や製造業の技術者、個人の「ものづくり」ユーザーを、罠を仕掛けたWebページへ誘い込もうとする攻撃者です。メールやSNSのリンク、検索結果に紛れ込ませた偽ページなど、誘導の手口はありふれています。ふだんCADを開いたまま調べ物でブラウザを使う、という何気ない流れが入口になります。
Fusionを起動しMCP拡張を有効にした人がその罠ページを開くと、攻撃者はそのパソコン上で好きなプログラムを実行できます。鍵をこじ開けるのではなく、本人がうっかりページを開いた一瞬を突く形です。実行は本人の権限で行われるため、その人が触れるファイルやネットワークはひと通り攻撃者の手が届く範囲になります。
被害として現実的なのは、まず手元の設計データの持ち出しです。製品の図面や3Dモデルは、それ自体が会社の競争力そのもので、流出すれば模倣や情報漏えいに直結します。さらに、乗っ取ったパソコンを起点に社内ネットワークへ侵入を広げたり、ファイルを暗号化して身代金を要求するランサムウェアを送り込んだりといった二次被害につながる恐れもあります。だからこそ、後述する更新と設定の見直しが急がれます。
補足すると、悪用には「MCP拡張が有効」という条件が要ります。MCP(Model Context Protocol)は、AIに外部のツールやデータをつなぐための比較的新しい仕組みで、Fusionでも対応が進んでいます。便利な反面、この入口が攻撃の通り道になり得るという点で、AIと既存ソフトの連携が広がるほど注意が要る種類の問題です。
技術的に何が起きているのか
分類はCWE-94(コード生成の不適切な制御=コードインジェクション)です。悪意あるWebページが、Fusionの有効なMCP拡張に向けて細工した入力を送り込み、本来データとして扱うべきものをプログラムとして実行させてしまう、という筋道だと説明されています。
CVSSのベクトルは AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H です。ネットワーク経由で、攻撃の難易度は低く、事前の権限は不要。ただしUI:R、つまり「利用者がページを開く」という操作だけは必要です。一方で S:C(スコープ変更)は、影響が拡張機能の枠を越えてパソコン本体に及ぶことを示しており、機密性・完全性・可用性のいずれも「高」。9.6という数値は、この組み合わせの重さを表しています。
同じ2026年6月22日には、別のAIツールでもMCPの入口をめぐる欠陥が相次いで公開されました。たとえばIBM傘下のLangflowでも、MCP関連の認可不備(CVE-2026-7664)などが報告されています。AIと外部をつなぐMCPという仕組みが、各製品で新たな攻撃の入口になり始めている流れが見て取れます。
いま分かっていること・まだ分からないこと
✓ 確認済みの事実
? 現時点で未確認のこと
- ?実環境での悪用が観測されたか ― 執筆時点でCISA KEVには未掲載
- ?公開された実証コード(PoC)の有無 ― 執筆時点で確実な公開情報は確認できていない
いま何をすべきか
最優先は、Autodesk Fusionを修正版2703.1.20以降に更新することです。Windowsは「Fusion Client Downloader.exe」、macOSは「Fusion Client Downloader.dmg」から最新版を適用できます。Fusionは自動更新で版が上がることが多いので、まずは自分の版が2703.1.20以上になっているかを確認してください。
すぐに更新できない場合は、応急処置としてMCP拡張を無効にすると、この欠陥の前提が崩れて攻撃を受けなくなります。MCP連携を使っていないのに有効になっているなら、更新の有無にかかわらずオフにしておくのが無難です。あわせて、CADを開いたまま素性の分からないリンクを踏まない、という基本動作も効きます。組織でFusionを多数導入している場合は、配布済み端末の版を一覧で確認し、古い版が残っていないかを棚卸ししておくとよいでしょう。
まとめ
CVE-2026-10789は、人気CAD「Autodesk Fusion」のデスクトップ版で、MCP拡張を有効にしていると悪意あるページを開くだけで任意コード実行を許す、CVSS 9.6の重大な欠陥です。対象は2703.1.11〜2703.1.20未満で、修正版2703.1.20が出ています。更新と、使っていないならMCP拡張の無効化が当面の要点です。
設計データはそのまま会社や個人の財産です。AIとソフトをつなぐ便利な機能が増えるほど、その接点が新たな入口になり得ることも頭の片隅に置いておきたいところです。