実務チェックリスト
Exchange Server XSS脆弱性 初動確認チェックリスト
Exchange ServerのXSS脆弱性では、EEMS緩和策の適用状況だけでなく、OWA公開範囲、ユーザー報告、IIS/Exchangeログ、例外管理を同じ時系列で確認する。
- 対象者
- 情シス
- 緊急度
- 初動
- 領域
- メール基盤
- 難易度
- 中級
- 所要時間
- 約12分
- 最終更新
- 2026-05-21
このページを現場で使う
チェック状態はこの端末のブラウザにだけ保存されます。メモや機密情報は保存しません。
確認進捗
完了 0/0いつ使うか
Microsoft Exchange ServerのCVE、MSRC/Exchange Team Blogの緊急案内、CISA KEV掲載、OWA上の不審表示やメール経由のユーザー報告を受け取った直後に使う。
誰が使うか
メール基盤担当が対象サーバーとEEMSを確認し、CSIRTまたはセキュリティ担当がユーザー報告、ログ、エスカレーション判断を確認する。
エスカレーション条件
OWAが外部公開されている、EEMS緩和策が未適用または失敗している、利用者が不審リンクや認証情報入力を行った、複数ユーザーで同種報告がある場合はCSIRTへ上げる。
何を確認するか
Microsoft Exchange ServerのOWAに関するXSS脆弱性がCISA KEVに追加されたとき、対象サーバー、EEMS緩和策、OWA公開範囲、ユーザー報告、ログを確認するチェックリスト。
なぜ重要か
OWAはメール本文、添付、リンク、ログイン済みセッションが集まる画面であり、XSSは表示やユーザー操作の誤認につながる。緩和策の有無とユーザー影響を分けて確認する必要がある。
見落とすと何が起きるか
EEMSの適用状況だけを見てユーザー報告やログを見落とすと、認証情報入力、メール転送、不審なセッションなど、脆弱性対応から漏えい疑い対応へ移るべき兆候を逃す。
確認前に準備するもの
- CVE番号、MSRC、Exchange Team Blog、CISA KEV、NVDのリンク
- Exchange Serverの一覧、バージョン、OWA公開範囲、ハイブリッド構成
- EEMS設定、MitigationsApplied/Blockedの確認結果、IIS/Exchange/EEMS/IdPログ
確認後に残すべき記録
- 対象サーバー、OWA公開範囲、緩和策の適用・失敗・ブロック状況
- 利用者報告、クリック・入力・添付操作の有無、確認したログソース
- 残リスク、例外承認者、再確認日、社内周知の内容
公式情報と対象サーバーを確認する
EEMSと暫定緩和を確認する
ユーザー報告とログを見る
記録と次の対応を整理する
信頼性と注意事項
- 想定環境
- Exchange Server 2016/2019/Subscription Edition、OWA、Exchange Emergency Mitigation Service、メールゲートウェイ、IdP、EDRを利用する環境
- 注意
- 不審メールやリンクを再実行して確認しない。公式情報、Exchange管理画面、EEMSログ、利用者報告、メール・認証ログに基づいて防御側の確認に限定する。
- 最終更新日
- 2026-05-21