ssecutils
Security / Browser-native guide

Microsoft Exchange XSSゼロデイ(CVE-2026-42897)詳解 - メール1通でOWAセッション乗っ取り

10Zero tracking reading surface

CVE-2026-42897 とは何か

CVE-2026-42897(CVSS 8.1)は、Microsoft Exchange ServerのOutlook Web Access(OWA)に存在するXSS(クロスサイトスクリプティング)に起因するスプーフィング脆弱性である。攻撃者が細工したメールを送りつけるだけで、被害者がOWAでそのメールを開いた際に任意のJavaScriptがブラウザ上で実行される。実行されたスクリプトはセッションCookieの窃取・なりすまし送信・メール転送ルールの設置が可能であり、2026年5月15日にCISAのKEV(Known Exploited Vulnerabilities)カタログに追加された。2026年6月現在、永続的なパッチはまだリリースされていない。

何が起きたのか

ゼロデイとして野放し状態で悪用

Microsoftは2026年5月に「CVE-2026-42897が野放し状態で悪用されている」と発表した。詳細な攻撃者像・標的組織・悪用規模は公表されていないが、以下の事実が明らかになっている。

  • 最新のセキュリティパッチをすべて適用済みのExchange Serverも影響を受ける(ゼロデイ)
  • Exchange Server 2016・2019・Subscription Edition(SE)の全バージョンが対象
  • Exchange Online(Microsoft 365クラウド版)は影響なし
  • CISAがFCEB機関(連邦民間行政機関)に即時緩和措置の適用を義務付け

Microsoftは永続的なパッチの準備が整うまでの間、Exchange Emergency Mitigation Service(EEMS)を通じた自動緩和措置を配布している。

攻撃で可能になること

攻撃者がOWA上でJavaScriptを実行できると、以下のすべてが技術的に可能となる。

攻撃内容影響の継続性
被害者のメールを読むセッション中
被害者になりすましてメール送信(BEC基盤)セッション中
セッションCookieの窃取(pass-the-cookie)Cookie有効期限まで
メール転送ルールの設置(全受信メールを攻撃者へ転送)パスワードリセット後も持続
OWA設定の変更設定変更後から持続

特に危険なのは転送ルールの持続性だ。パスワードをリセットしても転送ルールはメールボックスに残るため、被害者が気づかない間に長期間メールが盗聴され続ける可能性がある。これはCFO・法務・経営幹部を狙うBEC(ビジネスメール詐欺)への足がかりとして極めて有効な攻撃ベクターとなる。

技術的な解説

なぜExchange OWAでXSSが成立するのか

Exchange OWAはメール本文をHTML形式でレンダリングするWebアプリケーションだ。適切な実装であれば、メール本文内の<script>タグやonloadなどのイベントハンドラはサニタイズ(無害化)される。CVE-2026-42897では、この無害化処理に特定の条件下でバイパスできる欠陥が存在する。Microsoftは詳細なPoCを公開していないが、HTMLエンコードやCSSを組み合わせた特殊な構造でフィルタリングを回避していると推測される。

攻撃の流れ

攻撃のステップは以下のとおりだ。

  1. 攻撃者が細工したHTMLメールをターゲットのメールアドレスに送信する
  2. 被害者がExchange OWAでそのメールを開く
  3. 「特定の操作条件(certain interaction conditions)」が満たされると攻撃者制御のJavaScriptが実行される
  4. JavaScriptがセッションCookieを攻撃者のサーバーに送信する
  5. 攻撃者がCookieを使ってOWAに不正ログインし、転送ルールを設置する
  6. 以降、全受信メールが攻撃者に継続的に転送される

「特定の操作条件」の詳細はMicrosoftが非公開にしているが、メールを開くだけでなくリンクのホバーやボタンのクリックが必要な可能性がある。ただし、いずれにせよ高度なユーザー操作は不要とされており、通常のメール閲覧行動の範囲内で発動する設計と考えられている。

ExchangeがXSS脆弱性を持ちやすい構造的な理由

ExchangeはSMTPでメールを受信し、メールボックスに格納した後、OWAがHTTPSでブラウザに表示する。この「メール → HTML変換 → ブラウザ表示」のパイプラインは、RTFやHTMLリッチコンテンツのレンダリングが複雑であり、過去にも繰り返し脆弱性が発見されてきた箇所だ(ProxyShell・ProxyLogon等の系譜)。攻撃者にとってはExchangeのメール処理バグを発見することで、認証なしで広大な標的範囲を一斉に攻撃できるという魅力がある。

EEMSによる緩和の仕組みと限界

Exchange Emergency Mitigation Service(EEMS)はMicrosoftのサービスから緩和ルールを自動取得してExchangeに適用するWindowsサービスだ。特定のURLパス無効化・IIS URLリライト・機能の無効化などを自動実行できる。ただし以下の制約に注意が必要だ。

  • EEMSはインターネット接続が必要なため、エアギャップ環境では機能しない
  • 緩和措置は根本的な脆弱性を解消するものではなく、永続的なパッチとは異なる
  • EEMSが有効になっていない環境(手動で無効化した場合等)では自動緩和されない

日本企業への影響

オンプレミスExchangeの現状

日本では製造業・金融・医療・官公庁を中心にオンプレミスのExchange Serverを継続運用している組織が依然として多い。Exchange Onlineへの移行コストや規制上の制約、既存システムとの連携要件から、クラウド移行が進んでいない組織も少なくない。

OWAをインターネットに向けて公開している組織(外部からのWebメールアクセスを許可している場合)は特に影響が大きく、攻撃者が細工したメールをターゲット宛に送信する手段さえあれば容易に攻撃を実行できる。

BECへの発展リスク

日本でも年間数十億円規模の被害が出るBEC(ビジネスメール詐欺)は、メールの内容・タイミング・送信者の信頼性が武器となる。CVE-2026-42897を使って財務・法務担当者のメールに転送ルールを仕掛ければ、数週間にわたって資金移動の指示メールを傍聴した上で、完璧なタイミングで送信者になりすます詐欺が可能になる。

今すぐ確認すべきポイント

1. EEMSの稼働を確認する

Exchangeサーバーで以下のコマンドを実行し、EEMSが正常に動作しているかを確認する。

# EEMSサービスの状態確認
Get-Service MSExchangeMitigation

# 緩和措置の適用状況確認
Get-ExchangeDiagnosticInfo -Server <サーバー名> -Process MSExchangeMitigation -Component MitigationService

2. OWAへの外部アクセスを制限する

OWAをインターネットから直接アクセスできる構成の場合、緊急対応としてVPN経由のみのアクセスに制限することを検討する。アクセス制限が困難な場合はWAFのシグネチャ更新と監視を強化する。

3. 怪しい転送ルールを確認・削除する

既に悪性の転送ルールが設置されていないかを確認する。特に経営幹部・財務・法務担当のメールボックスを優先してチェックする。

# 転送ルールが設定されているメールボックスを一覧表示
Get-Mailbox -ResultSize Unlimited | Get-InboxRule | Where-Object {
  $_.ForwardTo -ne $null -or
  $_.ForwardAsAttachmentTo -ne $null -or
  $_.RedirectTo -ne $null
} | Select-Object MailboxOwnerID, Name, ForwardTo, RedirectTo

4. 異常なOWAアクセスを調査する

通常と異なる地域・デバイス・時間帯からのOWAログインを確認する。特に2026年5月以降のログを遡り、見覚えのないIPアドレスからのアクセスがないかを確認する。

5. パッチリリースを即時適用できる体制を整える

Microsoftセキュリティアップデートの通知を購読し、永続的なパッチがリリースされたら72時間以内に適用できるよう事前にテスト環境での検証手順を整備しておく。

「メール1通で乗っ取り」が意味すること

CVE-2026-42897が示す本質的なリスクは、「攻撃者が被害組織の内部に入る必要がない」点にある。外部から1通のメールを送るだけで、被害者のメールボックスを長期間読み続け、なりすまし送信できる状態になる。これはランサムウェアのような派手な被害ではなく、気づきにくい静かな侵害であり、発覚が数ヶ月後になることも珍しくない。

Exchangeのセキュリティについては、過去の教訓(ProxyShell等)を踏まえた定期的な設定レビューとパッチ管理体制の整備が不可欠だ。インシデント対応手順全般については セキュリティインシデント対応手順 も参照されたい。

参考情報

  • The Hacker News: On-Prem Microsoft Exchange Server CVE-2026-42897 Exploited via Crafted Email
  • SecurityWeek: Microsoft Warns of Exchange Server Zero-Day Exploited in the Wild
  • BleepingComputer: Microsoft warns of Exchange zero-day flaw exploited in attacks
  • Dark Reading: Microsoft Exchange Zero-Day Under Attack, No Patch Available
  • CISA: Known Exploited Vulnerabilities Catalog(CVE-2026-42897)
Related reading

関連記事

Security10
AIが書いたゼロデイエクスプロイト - Googleが検知した2FA迂回コードと攻撃自動化の到達点2026年5月にGoogleが公表した「犯罪グループがAIを使ってゼロデイエクスプロイトを開発した」初の事例を解説。LLM生成コードの識別特徴(docstring・架空のCVSSスコア・教科書的構造)、2FA検証ロジックのバグを大量悪用しようとした攻撃者の意図、Mandiantのデータが示すTime-to-Exploitの短縮、管理ツールの公開範囲最小化・2FA品質評価・高速パッチ適用による防御を日本語で整理します。
Security11
MuddyWaterがTeamsで社内ITを装う - ランサムウェアを煙幕にするイラン国家スパイ活動イラン国家系APT MuddyWater(Mango Sandstorm)が2026年前半にMicrosoft Teamsを使った「ITサポートなりすまし」で侵入し、Chaosランサムウェアを偽旗として残しながら諜報・認証情報窃取を行った事案をRapid7の分析を基に解説。Teams外部テナント悪用・DLLサイドローディング(SentinelOne製バイナリ悪用)・偽旗作戦の戦術的意味、ランサムウェアが国家スパイの煙幕である場合のリスク、Teams設定確認・RMMツール制御・初動の偽旗チェックによる対策を日本語で整理します。
Security10
ChatGPhish詳解 - ChatGPTのMarkdown信頼を悪用したフィッシング・IP漏洩・QRコードバイパス2026年5月にPermiso Securityが公表したChatGPTウェブ要約機能の脆弱性「ChatGPhish」を解説。Markdown画像の自動取得でIP/UA/Refererが流出し、フィッシングリンクやQRコードがChatGPTのUIに埋め込まれる仕組み、間接プロンプトインジェクションとの関係、デスクトップURLフィルタの回避、業務ChatGPT利用への対策ポリシーを日本語で整理します。
Security11
Trellix(旧McAfee/FireEye)ソースコード流出 - セキュリティベンダー侵害が特別に危険な理由2026年5月にRansomHouseが侵害したTrellixのソースコードリポジトリ不正アクセス事案を解説。McAfee Enterprise+FireEye合併の53,000超顧客ベンダーのコード流出がなぜ一般企業と質的に異なるか(検知回避ロジック把握・未知脆弱性発見)、RSA・FireEye・Okta・Microsoftの歴史的事例との比較、Trellix製品ユーザーの確認手順と多層防御の考え方を日本語で整理します。
Learn の記事一覧へ戻る