CISA KEVに追加されたMicrosoft Exchange ServerのXSS脆弱性について、OWA、EEMS緩和策、対象サーバー、ユーザー報告、ログ確認、初動対応を整理する。
何が起きたか
2026年5月14日、Microsoft は Microsoft Exchange Server の CVE-2026-42897 について公開した。Microsoft Exchange Team Blog では、Exchange Outlook Web Access(OWA)に影響する脆弱性として説明されている。
2026年5月15日、CISA はこの脆弱性を Known Exploited Vulnerabilities(KEV)カタログに追加した。CISA KEV の説明では、OWAで特定条件が満たされるとブラウザ上で任意のJavaScriptが実行され得る cross-site scripting とされ、必要な対応はベンダー指示に基づく緩和策の適用とされている。CISA KEV でのランサムウェアキャンペーン利用は Unknown だ。
この記事では、攻撃メールの作り方や悪用手順には触れない。Exchange を運用する組織が、対象サーバー、OWA公開範囲、Exchange Emergency Mitigation Service(EEMS)の緩和策、利用者報告、ログ確認をどう整理するかに絞る。
影響を受ける可能性がある組織・担当者
影響確認の中心になるのは、オンプレミスまたはハイブリッド構成の Exchange Server を運用している情シス、メール基盤担当、CSIRT、委託先運用チームだ。Microsoft 365 のみを利用していてオンプレミス Exchange がない組織とは、確認する範囲が異なる。
対象になりやすいのは次の環境だ。
- Exchange Server 2016 / 2019 / Subscription Edition を利用している
- OWA を社外から利用できる、またはVPN外のネットワークから到達できる
- Exchange Emergency Mitigation Service の有効・無効、接続性、適用状況を把握できていない
- ユーザーから不審なメール表示、リンク、ログイン画面、OWA挙動の報告がある
- メール基盤ログ、IISログ、EEMSログ、管理者操作ログの確認手順が明文化されていない
Exchange は認証、メール、添付、予定表、社内外連絡の入口になりやすい。技術的な脆弱性対応だけでなく、ユーザー報告とログ確認を同じ時系列で見る必要がある。
なぜ重要か
XSS は「サーバーを直接乗っ取る」ものと誤解されやすいが、実務上はユーザーのブラウザ、セッション、表示内容、クリック判断に影響する。Exchange の場合、OWA はメール本文、リンク、添付、ログイン済みセッションが集まる画面だ。
初動では、次の4点を分けて確認する。
| 観点 | 確認すること |
|---|---|
| 対象性 | Exchange Server の有無、バージョン、OWA公開範囲、ハイブリッド構成 |
| 緩和策 | EEMS の有効化、M2 緩和策の適用状況、手動対応の要否 |
| 利用者報告 | 不審なOWA表示、リンク、添付、認証情報入力、メール転送の有無 |
| ログ | IIS、Exchange、EEMS、メールゲートウェイ、IdP、EDRの時系列確認 |
NVD では NIST と Microsoft CNA のCVSS評価が異なって表示されている。スコアの差だけで優先度を決めず、KEV掲載、OWA公開範囲、対象サーバー数、ユーザー報告の有無で判断する。
まず確認すべきこと
初動は「対象サーバーの特定」と「緩和策の適用状況確認」を最優先にする。
- Microsoft Exchange Team Blog、MSRC、CISA KEV、NVDで CVE番号、影響、緩和策、更新情報を確認する。
- Exchange Server 2016 / 2019 / Subscription Edition の有無と、OWA の公開範囲を確認する。
- Exchange Emergency Mitigation Service が有効で、Microsoftの緩和策を取得・適用できる状態か確認する。
- M2 緩和策の適用、ブロック、失敗、ロールバック有無をExchange管理ログやEEMSログで確認する。
- 利用者から不審なメール表示、認証情報入力、リンククリック、添付操作の報告がないか確認する。
- メールゲートウェイ、IIS、IdP、EDR、監査ログを同じ時間軸で確認する。
CyberLens では、この流れを Exchange Server XSS脆弱性 初動確認チェックリスト に整理した。CVE全般の初動は CVE初動対応チェックリスト も併用できる。
推奨される初動対応
対応は、EEMSの確認だけで終わらせない。緩和策が入っているか、OWA公開範囲は適切か、不審なユーザー操作がないかを分けて記録する。
| 優先度 | 対応 | 完了条件 |
|---|---|---|
| 高 | 対象Exchangeの棚卸し | サーバー、バージョン、OWA公開範囲、保守責任者が一覧化されている |
| 高 | EEMS緩和策確認 | M2緩和策の適用・失敗・ブロック状況を記録した |
| 高 | ユーザー報告確認 | OWA上の不審表示、リンク、添付、入力操作の有無を確認した |
| 中 | ログ確認 | IIS、Exchange、EEMS、IdP、メールゲートウェイを時系列で確認した |
| 中 | 例外管理 | 緩和策が使えない、または業務影響で延期する場合の期限と承認者を記録した |
| 中 | 利用者周知 | 不審メール・OWA表示を追加操作せず報告する導線を明示した |
不審なクリックや認証情報入力が確認された場合は、メール基盤の脆弱性対応から、フィッシング報告、セッション失効、漏えい疑い初動へ切り替える。
公式情報の確認先
このニュースは、次の一次情報をもとに整理した。
- Microsoft Exchange Team Blog: Addressing Exchange Server May 2026 vulnerability CVE-2026-42897 — Exchange Teamによる公開情報、OWAへの影響、更新状況を確認できる。
- MSRC: CVE-2026-42897 — Microsoft Security Response Centerのベンダーアドバイザリ。
- Microsoft Learn: Exchange Emergency Mitigation Service — EEMSとCVE-2026-42897のM2緩和策を確認できる。
- CISA Known Exploited Vulnerabilities Catalog: CVE-2026-42897 — KEV掲載と対応期限を確認できる。
- NVD: CVE-2026-42897 — CVSS、CWE、CISA KEV連携情報を確認できる。
Exchange の緩和策や更新情報は変更される可能性がある。公開情報と自社環境のEEMS設定、OWA公開範囲、ログを必ず突き合わせてほしい。
関連する CyberLens 内部リンク
このテーマは、XSS、CVE初動、メール報告、漏えい疑い初動をまとめて見ると判断しやすい。
- Exchange Server XSS脆弱性 初動確認チェックリスト
- CVE初動対応チェックリスト
- フィッシング報告テンプレート
- 漏えい疑い初動テンプレート
- インシデントレスポンス
- XSSとは
- KEVとは
- Patch Managementとは
まとめ
CVE-2026-42897 は、Exchange Server と OWA を使う組織にとって、メール基盤の表示・セッション・ユーザー判断に関わる問題だ。EEMSの緩和策が有効でも、対象サーバー、公開範囲、ユーザー報告、ログ確認を分けて記録する必要がある。
まずは Exchange Server XSS脆弱性 初動確認チェックリスト で、Exchange環境、OWA公開範囲、EEMS緩和策、ログ、報告導線を揃える。緩和策の適用だけで完了扱いにせず、利用者が不審なメール表示や入力操作を報告できる状態まで整えることが、実務上の完了条件になる。
