Microsoft Exchange CVE-2026-42897——Patch Tuesday後に発覚した未パッチXSSゼロデイが悪用中

何が起きたか

2026年5月15日、Microsoft が CVE-2026-42897 を緊急公開した。5月13日の Patch Tuesday（本ブログ既報）には含まれておらず、Patch Tuesday後に実際の悪用が確認されてから別途開示された未パッチゼロデイだ。

CVE-2026-42897 基本情報:
  CVSSスコア:     8.1（Critical）
  種別:           クロスサイトスクリプティング（XSS）→ スプーフィング
  影響製品:       Exchange Server 2016, 2019, SE（オンプレミス）
  Exchange Online: 影響なし（クラウド版は除外）
  認証:           不要（攻撃者側）
  ユーザー操作:   メールを OWA で閲覧するだけ
  悪用状況:       野外で積極的に悪用中（In The Wild）
  パッチ:         未提供（緩和策のみ）
  公開日:         2026年5月15日

攻撃の仕組み

攻撃フロー:

1. 攻撃者 → [細工したメールを被害者に送信]
             ↓
2. 被害者 → [Outlook Web Access（OWA）でメールを開く]
             ↓
3. Exchange OWA → [メール内の悪意ある入力を適切にサニタイズせずレンダリング]
                   ↓
4. 被害者のブラウザ → [攻撃者のJavaScriptが被害者のOWAセッションで実行]
                       ↓
5. 攻撃者が取得できるもの:
   ✗ OWAセッションクッキーの窃取（→ メールボックスの乗っ取り）
   ✗ 被害者の権限でのメール送信・転送ルール設定
   ✗ 社内ウェブリソースへのアクセス（同一ブラウザセッション経由）
   ✗ スプーフィング（なりすまし）メールの送信

❌ 従来のフィッシング:
  [悪意あるリンクをクリックさせる] または [添付を開かせる]
  → ユーザーへの説明・警戒で防げる

✅ CVE-2026-42897:
  [メールをOWAで開く（またはプレビューする）だけで発火]
  → ユーザーが注意してもほぼ防げない

Patch Tuesdayに含まれなかった理由

2026年5月 Patch Tuesday（5月13日）: ゼロデイ 0 件
CVE-2026-42897（5月15日公開）:      ゼロデイ 1 件（別途開示）

2日後に新たなゼロデイが発覚した理由:
  - Patch Tuesday は事前に準備・テストされた修正を一括公開する仕組み
  - CVE-2026-42897 の悪用は5月13日〜15日の間に Microsoft の監視で検出
  - 修正が間に合わないため「ゼロデイとして開示 + 緩和策のみ提供」という判断
  - 通常パッチは翌月 Patch Tuesday（6月）まで待つ可能性が高い

緩和策の適用手順

Microsoft は完全なパッチを提供できない間、Exchange Emergency Mitigation Service（EEMS） による自動緩和を推奨している。

# 方法1: EEMSを有効にする（インターネット接続がある環境）
# Exchange Management Shell（管理者権限）で実行

# EEMSの現在の状態を確認
Get-ExchangeDiagnosticInfo -Server <サーバー名> -Process MSExchangeHMWorker `
  -Component EEMSAgent -Settings "Status"

# EEMSが有効になっているか確認（Enabled: True が正常）
# EEMSが無効の場合は有効化
Enable-ExchangeDiagnosticsProvider -Name EEMS

# EEMSは自動的にMicrosoftのミティゲーションエンドポイントに接続し
# CVE-2026-42897向けの緩和設定（Mitigation M2）を自動適用する

# 方法2: エアギャップ環境（インターネット非接続）での手動緩和
# Exchange on-premises Mitigation Tool（EOMT）を使用

# 1. EOMT の最新版をダウンロード（別の接続済みマシンから）
# https://github.com/microsoft/CSS-Exchange/releases

# 2. Exchange Management Shell（管理者権限）で実行
.\EOMT.ps1 -ExchangeServerNames <サーバー名>

# または特定のサーバーを指定
Set-Mitigation -Identity "M2" -Action Apply -Server <サーバー名>

緩和策適用後の既知の副作用

EEMS/EOMT による Mitigation M2 を適用すると、一部のOWA機能に影響が出る。

副作用（Mitigation M2 適用後）:

1. OWA カレンダーの印刷機能が動作しない
   回避策: データをコピーするか Outlook デスクトップクライアントを使用

2. OWA の閲覧ペインでインライン画像が正常に表示されない場合がある
   回避策: メール添付として画像を送る、または Outlook デスクトップクライアントを使用

影響がないもの:
  - メール送受信
  - 予定表の閲覧・編集
  - Outlook デスクトップクライアントの全機能
  - Exchange Online ユーザー（影響なし）

影響を受けるかどうかの確認

# 自組織のExchangeのバージョンと構成を確認
Get-ExchangeServer | Select-Object Name, Edition, AdminDisplayVersion, IsEdgeServer, IsClientAccessServer

# Exchange Online（クラウド）か確認
# ↓ オンプレミスの場合のみCVE-2026-42897の影響を受ける

# Exchange Server の管理者権限でバージョン確認
[System.Diagnostics.FileVersionInfo]::GetVersionInfo((Get-Command exsetup.exe).Path).FileVersion

# OWA が有効かどうか確認
Get-OwaVirtualDirectory | Select-Object Server, InternalURL, ExternalURL

# EEMSの状態確認
Get-ExchangeDiagnosticInfo -Process MSExchangeHMWorker -Component EEMSAgent

組織別の対応優先度

構成	対応の必要性
Exchange Online のみ（Microsoft 365）	対応不要（影響なし）
Exchange オンプレミス（インターネット接続あり）	即座にEEMSを有効化
Exchange オンプレミス（エアギャップ環境）	即座にEOMTでM2を適用
Exchange ハイブリッド（オンプレミス+Online）	オンプレミス側のみ対応必要

落とし穴・注意点

5月Patch Tuesdayを適用済みでも無効: CVE-2026-42897 は Patch Tuesday に含まれていない。Patch Tuesday を適用しても保護されない
OWAを内部のみに制限しても完全な保護ではない: 内部ユーザーからの悪意ある攻撃、または侵害されたアカウントから攻撃される可能性がある
Exchange Onlineとのハイブリッドでも油断禁物: クラウド側は影響ないが、オンプレミス側が攻撃を受けた場合、クラウド側にも連鎖する可能性がある
パッチは6月Patch Tuesdayまで待つ必要がある可能性: 現時点で Microsoftはパッチリリース日を公表していない

まとめ

CVE-2026-42897 は「Patch Tuesday を適用すれば安全」というルーティンが機能しない事例だ。Patch Tuesdayの2日後に悪用確認済みゼロデイが公開されたことは、Monthly Patch サイクルの限界を示している。Exchange オンプレミス環境の管理者は今すぐ EEMS を有効化し、Mitigation M2 の適用を確認すること。 完全なパッチが出るまでの間、Outlook デスクトップクライアントへの移行を推奨し、OWA経由の業務を最小化するのが現実的な対策だ。

参考リンク

免責: 本記事は2026年5月15〜17日の公開情報に基づく。Exchange のバージョンや構成によって影響・対応手順が異なる場合がある。公式の Microsoft セキュリティアドバイザリとExchange製品チームのブログを一次情報として対応すること。

S	公式ソース確認済み
A	成功実績多数・失敗例少数
B	賛否両論
C	動作未確認・セキュリティリスク高
Z	個人所感