サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、実際に悪用されている証拠に基づき、[既知の悪用済み脆弱性（KEV）カタログ](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)に新たに1件の脆弱性を追加しました。 ### CVE-2026-42897: Microsoft Exchange Server XSS * [CVE-2026-42897](https://www.cve.org/CVERecord?id=CVE-2026-42897) **Microsoft Exchange Server** クロスサイトスクリプティング脆弱性 この種の脆弱性は、悪意のあるサイバー攻撃者にとって一般的な攻撃ベクトルであり、重大なリスクをもたらします。 ### BOD 22-01と対策 [Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities](https://www.cisa.gov/binding-operational-directive-22-01)は、KEVカタログを、重大なリスクを伴う既知の共通脆弱性識別子（CVE）の生きたリストとして確立しました。BOD 22-01は、連邦民間執行機関（FCEB）に対し、指定された期日までに特定された脆弱性を修正し、FCEBネットワークをアクティブな脅威から保護することを義務付けています。詳細については、[BOD 22-01 Fact Sheet](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf)を参照してください。 ### すべての組織への推奨 BOD 22-01はFCEB機関にのみ適用されますが、CISAはすべての組織に対し、脆弱性管理の実践の一環として、[KEVカタログの脆弱性](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)のタイムリーな修正を優先することにより、サイバー攻撃への露出を減らすことを強く推奨しています。CISAは、[指定された基準](https://www.cisa.gov/known-exploited-vulnerabilities)を満たす脆弱性を引き続きカタログに追加していきます。