Microsoftは2026年5月14日、オンプレミス版 Microsoft Exchange Server に影響するスプーフィング脆弱性 CVE-2026-42897(CVSS 8.1、High) を公開しました。攻撃者が細工したメールをユーザーに送りつけ、受信者が Outlook Web Access(OWA)でそのメールを開いた際に「特定のインタラクション条件」が満たされると、任意の JavaScript コードが受信者のブラウザコンテキストで実行されるという内容です。Microsoftは本脆弱性に「Exploitation Detected」を付与しており、すでに実環境での悪用が観測されている状況です。一方で、恒久的なセキュリティ更新プログラムは現時点でリリースされておらず、Microsoftは Exchange Emergency Mitigation Service(EM Service)経由での自動緩和を先行投入する形で対応しています。本記事では公開情報をもとに、影響範囲・緩和策・運用上の論点を実務視点で整理します。
脆弱性の概要:OWA に細工メールを開かせて XSS
Microsoft の Exchange Team が公開したアドバイザリ(Microsoft Community Hub)によれば、攻撃の流れは次の通りです。まず攻撃者は特別に細工したメールを標的ユーザーに送信します。受信者が Outlook Web Access(OWA、つまりブラウザ版 Outlook)でそのメールを開き、かつ「特定のインタラクション条件」が満たされた場合、任意の JavaScript コードがユーザーのブラウザコンテキストで実行されます。The Hacker News による解説では、この脆弱性は Exchange Server の Web ページ生成時の入力サニタイズ不備、すなわちクロスサイトスクリプティング(XSS)に起因するスプーフィング欠陥として分類されています。発見・報告者は匿名研究者です。
Microsoftは「certain interaction conditions(特定のインタラクション条件)」が何を指すかを公開していません。そのため、外部の防御者側からは「OWAで開封すれば常に発火するのか、追加の操作が必要なのか」を切り分ける手がかりが現時点ではありません。攻撃チェーンを完全に把握するためには Microsoft からの追加情報を待つ必要があります。
CVSS 8.1 は Microsoft(CNA)が付与した値です。NVD 自身による独自評価の有無は本稿執筆時点で未確認です。インパクトとしては「ブラウザコンテキストでの任意 JavaScript 実行」であり、これは認証情報の窃取、セッションハイジャック、メール内容の操作、フィッシング誘導など、メールクライアントを起点とした攻撃に直結する性質を持ちます。ProxyLogon のような未認証 RCE とは攻撃面が異なり、直ちに Exchange サーバ上で任意コードを実行するタイプの脆弱性ではありません。一方で、OWA のブラウザコンテキストでスクリプトが実行され得るため、セッション情報やメール内容の窃取、ユーザー操作の誘導、特権ユーザーを狙った追加攻撃につながる可能性があります。特に管理者や高権限ユーザーが OWA を利用する環境では、被害者がメールを「開いた」だけで攻撃が成立する可能性がある以上、軽視すべきではない欠陥といえます。
影響を受けるバージョン:オンプレ Exchange のみ、Exchange Online は影響なし
Microsoft が明示している影響対象は、オンプレミス版の以下のバージョンです。
- Exchange Server 2016
- Exchange Server 2019
- Exchange Server Subscription Edition(SE)
クラウド版の Exchange Online は影響を受けません。純粋に Exchange Online のメールボックスのみを利用している組織では、本脆弱性に関するオンプレ Exchange 側の緊急緩和は不要です。ただし、ハイブリッド構成などでオンプレ Exchange サーバを残している場合は、そのサーバが影響対象となる可能性があるため確認が必要です。
緩和策:EM Service による自動配布と、EOMT による手動適用
Microsoft は本脆弱性に対する恒久パッチをまだリリースしていませんが、その代わりに Exchange Emergency Mitigation Service(EM Service) を通じた緊急緩和を提供しています。EM Service は2021年9月から Exchange Server に組み込まれており、デフォルトで有効化されている機能です。Microsoft 側が公開した緩和ルールを、対象サーバが自動的に取得・適用する仕組みです。本件用の緩和ルールには M2.1.x という ID が付与されており、Exchange Server 2016、2019、SE の各バージョンで配布が始まっています。
EM Service が無効化されている、あるいはネットワーク構成上 Microsoft の配布サーバへ到達できない環境向けには、Exchange On-premises Mitigation Tool(EOMT.ps1)を Exchange Management Shell から手動実行する方法が案内されています。単一のサーバに適用する場合は次のように実行します。
.\EOMT.ps1 -CVE "CVE-2026-42897"全 Exchange サーバ(Edge ロールを除く)に対して一括適用する場合は次のように実行します。
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"エアギャップ環境や規制環境のように EM Service が利用しづらい組織では、EOMT が現実的な選択肢になります。
緩和の適用状況は、Exchange Health Checker スクリプト(aka.ms/ExchangeHealthChecker)を実行することで確認できます。Microsoft によれば、緩和ステータスが「Applied」と表示されていれば、適用は成功しています。なお、緩和の Description 欄に「Mitigation invalid for this exchange version」と表示されるという既知の不具合がありますが、Microsoft は「これは表示上の問題であり、ステータスが Applied であれば緩和は正常に適用されている」と説明しています。
ただし、EM Service が有効であっても、サーバの更新レベルが古い場合は新しい緩和ルールを取得できない可能性があります。Microsoft は、2023年3月より古い Exchange Server バージョンでは EM Service が新しい緩和策を確認できないと説明しているため、「EM Service は有効なはずだから大丈夫」と決め込まず、Health Checker で適用状況を能動的に検証することが重要です。
緩和適用後の既知の不具合:OWA Print Calendar とインライン画像
緩和を適用すると、OWA の一部機能に副作用が発生します。Microsoft が現時点で認識している既知の不具合は次の2点です。
- OWA の Print Calendar 機能が動作しない可能性がある。回避策としては、印刷したいカレンダーをコピーまたはスクリーンショットで保存するか、Outlook デスクトップクライアントを使うことが案内されています。
- 受信側 OWA のリーディングペインでインライン画像が正しく表示されない可能性がある。送信側では画像をメール添付として送るか、受信側で Outlook デスクトップクライアントを使うことで回避できます。
緩和の性質上、OWA における HTML レンダリングと印刷フローに介入していることがうかがえます。業務影響としては大きくはないものの、ユーザーへの事前周知は必要でしょう。
恒久パッチと ESU 問題:Period 2 未登録の Exchange 2016/2019 は将来も未保護のまま
Microsoft は恒久的なセキュリティ更新プログラムを将来リリースする予定だと表明していますが、ここで Exchange 2016 および 2019 の運用者には重要な構造的論点があります。BleepingComputer の報道および Franky’s Web の整理によれば、Microsoft が予定している恒久パッチの提供対象は次の通りです。
- Exchange Server SE RTM:公開リリースとして提供
- Exchange Server 2016 CU23:Period 2 Exchange Server ESU プログラム登録者のみ
- Exchange Server 2019 CU14 / CU15:Period 2 Exchange Server ESU プログラム登録者のみ
Exchange Server 2016 と 2019 は2025年10月14日にサポート終了を迎えており、その後のセキュリティ更新は Extended Security Update(ESU)プログラムを通じてのみ提供される運用に移行しています。Period 1 ESU は2026年4月に失効しており、現在有効なのは Period 2 ESU です。Period 2 ESU に登録していない組織では、本脆弱性の 恒久パッチが提供されない ため、緩和策の適用と並行して、ESU 登録の有無を確認し、未登録であれば Exchange SE への移行計画を立てる必要があります。
緊急対応としての EM Service による緩和は今すぐ機能しますが、長期的にはサポート対象バージョンでの稼働が前提となります。CVE-2026-42897 は、Exchange の世代交代と ESU 体系という運用ガバナンス上の課題を改めて浮き彫りにする事案ともいえます。
攻撃の現状:悪用観測ありだが詳細は非公開
Microsoft は本脆弱性に「Exploitation Detected」を付与していますが、現時点で攻撃者の特定、標的の業種・地域、攻撃の規模、被害が成立した事例の有無といった詳細は公開されていません。The Hacker News も「悪用がどのように行われているか、誰が背後にいるか、規模はどの程度かは現時点で不明」と報じています。Microsoft からの追加情報、または Mandiant や CrowdStrike、Microsoft Threat Intelligence などのインテリジェンスベンダーによる帰属レポートを今後注視する必要があります。
過去の Exchange 脆弱性、特に2021年の ProxyLogon 系(CVE-2021-26855 など)では、公開直後から無差別スキャンと Web Shell 設置が急速に拡大した経緯があります。本脆弱性は ProxyLogon のような未認証 RCE ではなく、ユーザーが OWA でメールを開く必要があるという点で攻撃のしきい値は異なりますが、Exchange サーバを外部公開している組織は依然として優先度の高い標的になり得ます。
実務的な推奨アクション
本脆弱性への対応として、オンプレ Exchange を運用している組織が短期的にとるべきステップは以下の通りです。
- EM Service の稼働状況を確認する。デフォルトで有効化されているはずですが、ファイアウォール設定の都合で Microsoft の配布サーバに到達できない場合、緩和ルールが届かない可能性があります。Exchange Health Checker スクリプトで M2.1.x の適用状況を確認してください。
- EM Service を意図的に無効化している環境では、EOMT.ps1 で手動緩和を適用する。エアギャップ環境、規制環境、変更管理を厳格に運用している環境では、自動配布より能動的な適用が求められます。
- ESU プログラムの登録状況を確認する。Exchange 2016/2019 を使用中で Period 2 ESU 未登録の場合、将来の恒久パッチが入手できません。ESU 登録または Exchange SE 移行の意思決定が必要です。
- OWA ユーザーへの周知。緩和適用後の Print Calendar 不具合、インライン画像表示の問題について、業務影響を確認しつつヘルプデスクへの問い合わせ増加に備えます。
- 外部公開している OWA の必要性を再評価する。本脆弱性に限らず、OWA はメールユーザーを対象とした攻撃の入口になりやすい資産です。VPN・条件付きアクセス・ゼロトラスト型のアクセス制御で外部公開を制限することは、構造的な防御の選択肢として継続的に検討すべき論点です。
所感:EM Service という設計判断は機能している
本件は、2021年の ProxyLogon ショックを受けて Microsoft が導入した EM Service という設計判断が、想定通りに機能している事例とみることもできます。「悪用が観測されており、かつ恒久パッチがまだ準備中」という、過去の Exchange インシデントで最もリスクが高かったフェーズに対して、Microsoft 側からプッシュ型で緩和を配布できる仕組みが整っていたわけです。一方で、その仕組みが届く前提として「EM Service が有効化されており、配布サーバへのネットワーク経路が確保されている」「Exchange のバージョンが緩和メタデータを受け取れる程度に新しい」というオペレーション条件が必要です。緩和が「自動的に当たっているはず」という前提を信じすぎず、適用状況を能動的に検証する運用設計が、今回のような状況でこそ問われます。
また、Exchange 2016/2019 の Period 2 ESU 未登録環境という、明確に守られない領域が存在する点は引き続き深刻です。緊急緩和は当面の応急処置として機能しても、恒久パッチが入手できない以上、その状態は持続可能ではありません。CVE-2026-42897 は、緩和の即時性とサポート体系の長期計画の双方を意識した対応を促す事案として位置付けられます。
主要ソース
一次ソース
- Microsoft Tech Community(Exchange Team Blog): “Addressing Exchange Server May 2026 vulnerability CVE-2026-42897”
Addressing Exchange Server May 2026 vulnerability CVE-2026-42897 | Microsoft Community HubWe wanted to tell you how to address the Exchange Server May 2026 vulnerability CVE-2026-42897.techcommunity.microsoft.com - Microsoft Security Response Center: CVE-2026-42897 アドバイザリ
Security Update Guide - Microsoft Security Response Centermsrc.microsoft.com
参考情報
- The Hacker News: “On-Prem Microsoft Exchange Server CVE-2026-42897 Exploited via Crafted Email”
![]()
On-Prem Microsoft Exchange Server CVE-2026-42897 Exploited via Crafted EmailCVE-2026-42897 is exploited in on-prem Exchange; crafted emails enable spoofing, forcing urgent mitigation.thehackernews.com - BleepingComputer: “Microsoft warns of Exchange zero-day flaw exploited in attacks”
![]()
Microsoft warns of Exchange zero-day flaw exploited in attacksOn Thursday, Microsoft shared mitigations for a high-severity Exchange Server vulnerability exploited in attacks that al...www.bleepingcomputer.com - Franky’s Web: “Vulnerability in Exchange OWA: CVE-2026-42897 (May 2026)”
![]()
Vulnerability in Exchange OWA: CVE-2026-42897 (May 2026) - Frankys WebMicrosoft has reported the vulnerability CVE-2026-42897 with CVSS 8.1, High severity in all Exchange Server versions. A ...www.frankysweb.de
slug: cve-2026-42897-exchange-owa-xss-exploited
コメント