**Microsoft**は、**Exchange Server**に影響を与える活発に悪用されている脆弱性に対する重要なパッチを展開しました。**CVE-2026-42897**として特定されたこの脆弱性は、脅威アクターが**Outlook Web Access**（OWA）セッション内で任意のJavaScriptコードを実行できる高深刻度のなりすまし脆弱性です。 ### 脆弱性の解説 **CVE-2026-42897**は、**Exchange Server 2016**、**Exchange Server 2019**、および**Exchange Server Subscription Edition (SE)**に影響します。これは、事前の権限を必要とせずにリモート攻撃者によって悪用される可能性があります。攻撃ベクトルは、特別に細工された電子メールをユーザーに送信することを含みます。ユーザーが**Outlook Web Access**でこの電子メールを開き、特定のインタラクション条件が満たされた場合、ユーザーのブラウザコンテキスト内で悪意のあるJavaScriptが実行される可能性があります。 ### Microsoftの対応と緩和策 **Microsoft**は、**Exchange Emergency Mitigation Service (EEMS)**を通じて自動的な一時的な緩和策を展開することで、5月中旬にこの問題に最初に対処しました。しかし、昨日、同社は影響を受ける**Exchange Server**インストールにおける欠陥を恒久的に解決するための完全なセキュリティアップデートをリリースしました。 管理者は、これらの2026年6月のセキュリティアップデートをできるだけ早く展開することを強く推奨します。**Microsoft**はまた、追加の防御層を提供し、継続的な保護を保証するため、以前に実装された緩和策を維持することも推奨しています。 ### CISAの警告と歴史的背景 **サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**は、**CVE-2026-42897**を**既知の悪用脆弱性カタログ**に追加し、その活発な悪用を強調しました。**CISA**は、米国政府機関に対し、アラートから2週間以内、つまり5月29日までにサーバーをパッチ適用することを義務付けました。 これは**Microsoft Exchange Server**にとって孤立した事件ではありません。過去5年間で、**CISA**は20件の**Exchange Server**脆弱性を活発に悪用されているものとしてカタログ化しており、そのうち14件はランサムウェアギャングによって悪用されています。10月には、**Exchange 2016**および**2019**のサポート終了後、**CISA**と**国家安全保障局（NSA）**は、潜在的な攻撃から**Exchangeサーバー**を強化するための共同ガイダンスも発行しました。 影響を受ける**Exchange Server**バージョンを実行している組織は、進行中の脅威から環境を保護するために、これらのセキュリティアップデートの即時適用を優先する必要があります。