概要
Microsoftは2026年5月15日、オンプレミスのMicrosoft Exchange Serverに存在するスプーフィング脆弱性(CVE-2026-42897)が野生で活発に悪用されていることを公式に認めた。同日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はこの脆弱性を「既知悪用脆弱性(KEV)カタログ」に追加し、連邦民間行政機関(FCEB)に対して5月29日までの緩和措置適用を義務付けた。CVSSスコアは8.1と高く評価されており、迅速なパッチ適用が強く求められている。この脆弱性は2026年5月のPatch Tuesdayのわずか2日後に悪用が確認されており、攻撃者が新規パッチに対してもすぐに動き出す現状を浮き彫りにした。
脆弱性の詳細と攻撃手法
CVE-2026-42897は、Outlook Web Access(OWA)におけるクロスサイトスクリプティング(XSS)に由来するなりすまし(スプーフィング)脆弱性である。根本原因はWebページ生成時の入力値の不適切な中和にあり、認証されていない外部の攻撃者がネットワーク越しにスプーフィング攻撃を行うことを可能にする。攻撃の成立には受信者側でのユーザー操作が必要となる。具体的には、攻撃者が細工した悪意あるメールをターゲットに送信し、受信者がOWAでそのメールを開いた際に特定の条件が重なると、ブラウザのコンテキスト上で任意のJavaScriptコードが実行される。なおMicrosoftは「特定のインタラクション条件」の具体的内容を開示していない。Exchange Onlineは影響を受けず、オンプレミス環境のみが対象となる。
影響を受けるバージョン
本脆弱性の影響を受けるのは以下のオンプレミス版Exchange Serverのみであり、クラウド版のExchange Onlineは影響を受けない。
- Exchange Server 2016(CU23を含む全更新レベル)
- Exchange Server 2019(CU14 / CU15を含む全更新レベル)
- Exchange Subscription Edition RTM
対応策と推奨アクション
現時点(2026年5月15日時点)で恒久的なセキュリティ更新プログラムはリリースされておらず、Microsoftは開発中としている。管理者は以下の暫定的な緩和策を即座に適用することが求められる。
- Exchange Emergency Mitigation Service(EEMS): Exchange Server 2019以降ではデフォルトで有効化されており、自動的に緩和策が適用される場合がある。
- Exchange on-premises Mitigation Tool(EOMT): Microsoftが提供するスクリプトを手動で実行し、既知の脆弱性パターンを遮断する。
Exchangeのゼロデイ脆弱性はメール・認証情報・業務ワークフローへのアクセスを攻撃者に与えうることから、OWAを利用するオンプレミス組織はリスクが特に高い。セキュリティチームは緩和策の適用状況を確認し、Microsoftの恒久パッチリリースを注視する必要がある。