フォローする 
Microsoftは、オンプレミス版のExchange Serverに影響を与える脆弱性を開示しました。この脆弱性は、自然界ですでにアクティブな悪用が確認されています。CVE-2026-42897として追跡されるこの問題は、CVSSスコアが8.1であり、Exchange Server 2016、Exchange Server 2019、およびExchange Server Subscription Editionに影響を与えますが、Exchange Onlineには影響を与えません。Microsoftはこれを、特定のインタラクション条件下でOutlook Web Accessで特別に作成されたメールを開いたときにトリガーされるクロスサイトスクリプティングに根ざしたなりすましの問題として説明しています。
防御者の視点から見ると、CVE-2026-42897の脆弱性は、悪用経路がサーバーの乗っ取りから開始されないため重要です。代わりに、攻撃者は特別に作成されたメールを送信し、OWAを通じて閲覧したときに被害者のブラウザセッションで任意のJavaScriptを実行できるようになり、Webクライアントのコンテキストでなりすましやセッションの悪用へのルートを作成します。開示時点で、Microsoftは悪用が検出されたと述べていますが、公開報告では脅威アクター、ターゲット、または全体的なキャンペーンの規模は特定されていませんでした。
CVE-2026-42897の分析
CVE-2026-42897の脆弱性は、Microsoft Exchange ServerのWebページ生成中の入力の不適切な無効化に関連しています。Microsoftの公的な説明によると、攻撃者はユーザーに特別に作成されたメールを送信することにより、この欠陥を悪用でき、メッセージがOWAで開かれ、必要なインタラクション条件が満たされると、ブラウザ内で攻撃者が制御するJavaScriptを実行します。実際には、CVE-2026-42897のペイロードは特定されたバイナリやサーバー側のインプラントではなく、悪意のあるメールのコンテンツそのものです。
CVE-2026-42897の分析を行うセキュリティチームにとって、現在の大きな制限は、深い公開悪用の詳細が欠如していることです。引用元には公開されたCVE-2026-42897のPoCがなく、MicrosoftはパケットレベルまたはフォレンジックなCVE-2026-42897のIoCを公開していません。そのため、CVE-2026-42897の検出は、公開されているオンプレミスOWAの配置を特定すること、疑わしいメール駆動のブラウザの活動を監視すること、Microsoftの緊急緩和策がすべての対象となるExchangeサーバーに適用されたことを確認することに依存する可能性があります。
CVE-2026-42897の緩和策
Microsoftの即時のCVE-2026-42897緩和ガイダンスは、URL Rewrite構成を介して自動的に保護を適用し、サポートされているオンプレミスExchange導入でデフォルトで有効になっているExchange Emergency Mitigation Serviceを利用することです。Microsoftは、Windowsサービスがオフになっている場合、それを有効にするよう管理者に指示しています。同社はまた、この緩和策が恒久的な修正が準備される間の一時的なものであると述べています。
Exchange Emergency Mitigation Serviceが使用できない場合(エアギャップ環境など)、Microsoftは管理者に最新のExchange On-premises Mitigation Tool(EOMT)を展開し、CVE特有の緩和策をサーバーごとまたはすべてのExchangeサーバーにExchange Management Shellを介して適用するよう指示しています。実際には、CVE-2026-42897の露出を検出するために、組織はすべてのインターネットに面したオンプレミスExchangeシステムをインベントリし、緊急緩和策が正常に適用されたか確認し、緩和策が存在しない状態で外部からアクセス可能なOWA対応サーバーを優先する必要があります。
FAQ
CVE-2026-42897とは何か、それはどのように機能するのか?
CVE-2026-42897は、OWA関連のWebコンテンツ生成におけるクロスサイトスクリプティングの問題に起因するオンプレミスMicrosoft Exchange Serverのなりすましの欠陥です。特別に作成された電子メールは、特定の条件の下でOutlook Web Access内で開かれたときに、被害者のブラウザで任意のJavaScriptを実行できます。
CVE-2026-42897はいつ最初に発見されたか?
公開された情報源は、プライベートな発見日を開示していません。確認されているのは、Microsoftが2026年5月14日に公に欠陥を開示し、The Hacker Newsによれば匿名の研究者がそれを報告したことでクレジットされたということです。
CVE-2026-42897がシステムに与える影響は何か?
主な影響は、影響を受けたオンプレミスExchange環境でのOutlook Web Accessユーザーに対するブラウザーコンテキストのJavaScript実行となりすましです。引用された情報源には、Exchange Onlineの露出やサーバー側のリモートコード実行が直接的に記述されていません。
CVE-2026-42897は2026年にも私に影響を与える可能性があるか?
はい。CVE-2026-42897は、オンプレミスのExchange Server 2016、2019、Subscription Editionに影響を与え、Microsoftの緩和策が適用されていない場合に2026年に影響を与える可能性があります。Exchange Onlineは、報告されている影響を受ける製品から除外されています。
CVE-2026-42897からどのように自身を保護できるか?
Exchange Emergency Mitigation Serviceを通じてMicrosoftの緊急緩和策を適用するか、自動緩和策が不可能な場合はExchange On-premises Mitigation Toolを使用してください。CVE-2026-42897に関する詳細を求める防御者にとっての最も安全な現在のアプローチは、公開されているすべてのExchangeサーバーで緩和状況を確認し、Microsoftが恒久的な修正をリリースするまで不要なOWAの露出を減らすことです。
