Microsoft、Exchange Serverの重要脆弱性を公表 CISAが悪用を確認:セキュリティニュースアラート
MicrosoftはExchangeのOWAに影響する重要脆弱性を公表、CISAも悪用を確認した。自動配信される緩和策の確認方法や閉域網向け手順を解説する。また、適用後にカレンダー印刷や画像表示が不全になる既知の不具合の回避策、恒久パッチの配信条件をまとめる。
Microsoftは2026年5月14日(現地時間)、「Microsoft Exchange Server」に存在する脆弱(ぜいじゃく)性「CVE-2026-42897」を公表した。Exchange Server 2016、Exchange Server 2019、Exchange Server Subscription Edition(SE)が対象だ。
「Exchange Outlook Web Access」(OWA)経由で細工済みメールを開いた場合、特定条件下でWebブラウザ内へ任意JavaScriptを送り込まれる恐れがある。「Microsoft Exchange Online」には影響は及ばない。
Exchange Serverに重要脆弱性 CISAが悪用確認し対応を要求
本脆弱性が悪用された場合、攻撃者から送信された細工済みメールを利用者がOWAで閲覧し、特定の操作がされた段階で不正なJavaScriptが実行される。Microsoftは既に緩和策を公開しており、恒久対応のためのセキュリティ更新プログラムも準備中だという。
対策としてMicrosoftは、Exchange Emergency Mitigation Service(EM Service)の利用を推奨している。同機能は2021年9月から提供されており、既定で有効化されているため、有効な環境であれば今回の緩和策(識別子:「M2.1.x」)が自動的に配信される。管理者は、公式文書「Viewing Applied Mitigations」に記載された手順、またはスクリプトツール「Exchange Health Checker」を実行することで、緩和策の適用状況を確認できる。
EM Serviceが停止している環境に対しては、速やかに機能を有効化するよう促している。また、2023年3月以前のバージョン(ビルド)のExchange Serverを利用している場合、新しい緩和策を確認する機能は利用できない点も説明した。
EM Serviceを利用できない環境向けの手順も提示している。対象は閉域網や隔離環境などで、管理者が最新のExchange On-premises Mitigation Tool(EOMT)を取得し、Exchange Management Shell上からスクリプトを実行する形となる。この手法は、単一サーバ単位での適用と、全サーバへの一括適用の両方式に対応している。
今回の緩和策を適用した後に、幾つかの不具合も報告されている。OWAのカレンダー印刷機能の動作不全や、受信者側OWAの閲覧画面におけるインライン画像の表示異常、「OWA light(簡易版)」の動作不全などが含まれる。Microsoftは代替手段として、Outlookデスクトップアプリの利用や、画像をインラインではなく添付ファイル形式で送受信することなどを案内している。
監視機能への影響も確認されている。「OWACalendar.Proxy healthset」が異常状態に変化するため、監視製品側で警告が発生する場合がある。これに対しMicrosoftは、恒久的な修正版が公開されるまでは、監視基盤側でこの警告を一時的に無視する運用を推奨した。
さらに、緩和策の詳細画面に「Mitigation invalid for this exchange version.」というエラーが表示される事例も報告されているが、ステータス欄が「Applied」になっていれば緩和策自体は正常に適用されているという。Microsoftは、この表示上の不具合の解消方法についても現在調査中だ。
恒久対策となるセキュリティ更新プログラムの配信計画も明らかになった。対象となるバージョンは、Exchange SE RTM、Exchange 2016 CU23、Exchange Server 2019 CU14、CU15だ。Microsoftは、これらより古いCU(累積更新プログラム)を利用している企業に対し、速やかにアップデートを実施するよう求めている。
ただし、更新プログラムの配信条件には差異が存在する。Exchange SE用の更新プログラムは一般公開形式で提供されるが、Exchange 2016および2019用の更新プログラムを取得するには、「Period 2 Exchange Server 2016/2019 ESU(拡張セキュリティ更新)プログラム」への加入が必要となる。Period 1の限定契約のみを結んでいる利用者には更新プログラムが提供されない。なお、同制度(Period 1)は2026年4月に終了している。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、本脆弱性を「KEV(既知の悪用された脆弱性)カタログ」に追加した。CISAは、実際に悪用の事実(証拠)を確認したことを理由に挙げ、この種の脆弱性が攻撃者にとって主要な侵入経路になり得ると指摘。政府機関以外の組織に対しても、迅速な修正対応を促している。脆弱性管理の工程において、KEVカタログに収録された案件を優先的に処理することが、サイバー攻撃による被害の低減に直結すると説明した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
米2強が狙う“AI社員”の普及 Anthropicは「業務代行」、OpenAIは「運用プラットフォーム」
AnthropicのCoworkとOpenAIのFrontierは、AIが実務をこなす時代の到来を象徴している。ビジネスの現場はどう変わるのだろうか。
SaaS引継ぎ、7割超が不十分と回答 機能の未活用やオーバースペックも運用課題に
アイアットOECは企業の情報システム担当者を対象にSaaS運用実態を調査した。導入目的の未把握や引き継ぎ不足、機能の未活用が目立ち、業務に合わない高機能製品による費用負担増も判明した。
「LockBit」再浮上 少数精鋭のランサム集団が暴れる2026年、初期侵入の遮断が急務か
Check Point Software Technologiesは、ランサムウェア被害が依然として高水準で推移し、QilinやThe Gentlemenといった主要グループへの集中が進んでいると公表した。AIの活用により侵入から攻撃の実行までが短期化している他、米国への被害集中も確認された。
問い合わせ担当者の半数が悲鳴を上げる"見えない負担"の正体
Altam Easeは問い合わせ対応担当者200人への調査結果を公表した。調査により、現場で大きな負担となっている要因や、AI活用における課題が分かった。