Microsoft Exchange Serverのゼロデイ脆弱性 CVE-2026-42897がサイバー攻撃へ悪用

セキュリティニュース

投稿日時: 更新日時:

Microsoft Exchange Serverのゼロデイ脆弱性 CVE-2026-42897がサイバー攻撃へ悪用

Microsoftは2026年5月14日、オンプレミス版のMicrosoft Exchange Serverに影響するゼロデイ 脆弱性 CVE-2026-42897 を公表しました。

この脆弱性は、Exchange Outlook Web Access、いわゆるOWAに関係するクロスサイトスクリプティングの問題です。攻撃者が細工したメールを利用者に送信し、利用者がOWAでそのメールを開いて一定の条件を満たした場合、ブラウザーのコンテキストで任意のJavaScriptが実行される可能性があります。

Microsoftの案内では、Exchange Onlineはこの脆弱性の影響を受けません。一方で、オンプレミスのExchange Server 2016、Exchange Server 2019、Exchange Server Subscription Editionは影響を受けます。

現時点で恒久的な修正パッチはまだ提供されておらず、MicrosoftはExchange Emergency Mitigation Service、またはExchange on-premises Mitigation Toolによる緩和策の適用を案内しています。オンプレミスExchangeを運用している組織では、パッチ待ちではなく、まず緩和策が適用済みかを確認する必要があります。

概要

Microsoftは、Exchange ServerのOWAに影響するCVE-2026-42897を公開しました。

CVE-2026-42897は、Microsoft Exchange ServerにおけるWebページ生成時の入力処理不備に起因するクロスサイトスクリプティングの脆弱性です。MicrosoftのCVE情報では、認証されていない攻撃者がネットワーク経由でなりすましを行える可能性があると説明されています。

BleepingComputerは、Microsoftがこの脆弱性について攻撃での悪用を確認していると報じています。また、米国CISAもCVE-2026-42897をKnown Exploited Vulnerabilities Catalogに追加しており、悪用確認済みの脆弱性として扱われています。

攻撃は、Exchangeサーバーそのものへ直接コードを実行するタイプではなく、細工されたメールをOWA利用者に開かせることで、利用者のブラウザー上でJavaScriptを実行する流れです。ただし、OWAは企業メールの中核に位置するため、メール本文の改ざん、なりすまし、セッション悪用、内部メールの信頼関係を使った追加攻撃につながる可能性があります。

CVE-2026-42897の概要

CVE-2026-42897は、Microsoft Exchange ServerのOWAに影響するなりすましの脆弱性です。

脆弱性の種類はクロスサイトスクリプティングです。攻撃者は、細工したメールを対象ユーザーへ送信します。対象ユーザーがOutlook Web Accessでそのメールを開き、一定の操作条件が満たされると、攻撃者が用意したJavaScriptがブラウザーのコンテキストで実行される可能性があります。

ここで注意すべきなのは、影響範囲がメール閲覧の業務フローに重なる点です。

OWAは、社外からメールを確認する役員、営業担当、管理部門、リモートワーカー、海外拠点の利用者などで使われることがあります。攻撃者は、請求書、契約、採用、問い合わせ、取引先連絡などを装ったメールを送り、通常業務の流れで開封させることができます。

CVSS基本値は8.1とされています。スコアだけを見ると最上位のCriticalではありませんが、悪用確認済みであり、現時点で恒久パッチが未提供である点を踏まえると、運用上の優先度は高く見るべきです。

影響を受ける環境

Microsoftの案内では、影響を受けるオンプレミスのExchange Serverは次の通りです。

  • Exchange Server 2016
  • Exchange Server 2019
  • Exchange Server Subscription Edition

いずれも、すべての更新レベルが影響を受けるとされています。つまり、最新の累積更新プログラムを適用している環境であっても、CVE-2026-42897の影響を受ける可能性があります。

一方で、Exchange Onlineはこの脆弱性の影響を受けません。Microsoft 365のExchange Onlineのみを利用しており、オンプレミスExchangeを保有していない組織では、今回の緩和策適用対象にはなりません。

ただし、ハイブリッド構成には注意が必要です。メールボックスの多くをExchange Onlineへ移行していても、オンプレミスExchange Serverを管理用、リレー用、ハイブリッド構成用として残している場合があります。利用者が直接OWAを使っていない場合でも、インターネット側からOWAやExchange関連エンドポイントに到達できる構成が残っていないか確認が必要です。

原因

原因は、Microsoft Exchange ServerにおけるWebページ生成時の入力値の無害化処理が不十分であることです。

この不備により、攻撃者が作成したメールの内容が、OWA上で適切に処理されず、ブラウザー上でスクリプトとして実行される可能性があります。脆弱性分類としてはCWE-79、クロスサイトスクリプティングに該当します。

現在の対応

Microsoftは、CVE-2026-42897に対する恒久的なセキュリティ更新プログラムを準備中です。

現時点で案内されている主な対応は、Exchange Emergency Mitigation Serviceによる緩和策です。このサービスが有効な組織では、Exchange Server 2016、Exchange Server 2019、Exchange Server Subscription Editionに対する自動緩和策が提供され、適用されます。

Microsoftは、EM Serviceを無効化している場合は直ちに有効化することを推奨しています。ただし、Exchange Serverのバージョンが2023年3月より前の古い状態の場合、新しい緩和策を確認できない可能性があると説明しています。オンプレミスExchangeを長期間更新していない環境では、この点が特に重要です。

EM Serviceを利用できない環境、たとえば閉域環境やエアギャップ環境では、Exchange on-premises Mitigation Toolを利用し、Exchange管理シェルからCVE-2026-42897向けの緩和策を適用する方法が案内されています。

また、緩和策の適用後には、OWAのカレンダー印刷機能が動作しない、OWAの閲覧ウィンドウでインライン画像が正しく表示されない、OWA Lightが正しく動作しないなどの既知の問題が示されています。業務影響を確認しつつ、未適用のまま放置しない判断が必要です。

監視で確認すべきポイント

CVE-2026-42897は、OWAで細工されたメールを開くことが攻撃経路になります。そのため、Exchangeサーバー側のログだけでなく、メール受信、OWA利用、端末側ブラウザーの挙動を組み合わせて確認する必要があります。

Exchange側では、不審な外部送信者から特定利用者へ送られたメール、役員や管理部門を狙ったメール、HTMLメール、通常と異なる件名や本文を持つメールを確認してください。攻撃メールが削除済みであっても、メッセージトレースやメールゲートウェイのログに痕跡が残っている場合があります。

OWA側では、通常と異なるIPアドレスからのログイン、短時間の連続アクセス、海外IPからのアクセス、利用者の通常業務時間外のアクセスを確認してください。攻撃が成功した場合、ブラウザー上でのスクリプト実行を起点に、利用者のセッションやメール操作が悪用される可能性があります。

端末側では、OWA利用直後の不審なリダイレクト、認証情報入力画面への誘導、不審なファイルダウンロード、ブラウザーからの異常通信を確認してください。EDRやプロキシログがある場合は、OWA閲覧後の通信先や実行プロセスを追跡することが重要です。

出典