※ この記事は、Addressing Exchange Server May 2026 vulnerability CVE-2026-42897 の抄訳です。最新の情報はリンク先をご確認ください。この記事は Microsoft 365 Copilot および GitHub Copilot を使用して抄訳版の作成が行われています。
2026 年 5 月 14 日、Microsoft は Exchange Outlook Web Access (OWA) に影響する報告済みの脆弱性 CVE-2026-42897 を公開しました。攻撃者は特別に細工したメールを利用者に送信することで、この問題を悪用する可能性があります。利用者が Outlook Web Access でそのメールを開き、一定の操作条件が満たされると、ブラウザーのコンテキストで任意の JavaScript が実行される可能性があります。
影響を受けるオンプレミスの Exchange Server バージョンは次の通りです。
- Exchange Server 2016 (すべての更新レベル)
- Exchange Server 2019 (すべての更新レベル)
- Exchange Server Subscription Edition (SE) (すべての更新レベル)
Exchange Online はこの脆弱性の影響を受けません。
緩和策
オプション 1 (推奨): Exchange Emergency Mitigation サービス (Exchange EM Service)
Exchange EM Service を有効にしている組織向けに、Microsoft は Exchange Server 2016、2019、SE 用の自動緩和策を公開しました。この緩和策は既に公開済みで、自動的に有効化されます。
あらためての案内になりますが、EM Service は 2021 年 9 月にリリースされ、既定で有効になっています。このサービスの詳細は、Exchange Emergency Mitigation (EM) サービス をご確認ください。
EM Service を有効にしている組織では、サーバーに CVE-2026-42897 向けの緩和策が適用されているかどうかを次の方法で確認できます。緩和策の ID は M2.1.x です。
- ドキュメントの Viewing Applied Mitigations に記載された手順で確認する
- 組織内の EM Service の状態と適用済み緩和策をすばやく確認するには、Exchange Health Checker スクリプト を実行する。HTML レポートには EEMS check の結果が含まれます
EM Service は、この脆弱性をすぐに緩和するための最善の方法です。現在 EM Service を無効にしている場合は、直ちに有効化することを推奨します。
なお、サーバーで稼働している Exchange Server のバージョンが 2023 年 3 月より前のものである場合、EM Service は新しい緩和策を確認できません。詳細は、Exchange Emergency Mitigation サービスは大幅に更新が遅れているサーバーでは機能しない可能性があります をご確認ください。現在利用している Exchange の正確なバージョンは、Exchange Server のビルド番号とリリース日 のページにあるオプション 1 またはオプション 2 で確認できます。
オプション 2: スクリプトによる緩和策の適用
EM Service を利用できない組織 (たとえば、切断された環境やエアギャップ環境) 向けに、次の手順でこの緩和策を有効化できます。
次の URL から、最新版の Exchange on-premises Mitigation Tool (EOMT) をダウンロードします。
管理者権限で起動した Exchange 管理シェル (EMS) からスクリプトを実行し、サーバーごと、またはすべてのサーバーへ一括で緩和策を適用します。
単一サーバー:
1 | .\EOMT.ps1 -CVE "CVE-2026-42897" |
すべてのサーバー:
1 | Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897" |
緩和策適用時の既知の問題
上記いずれかの方法で CVE-2026-42897 の緩和策を適用した後、次の既知の問題が発生する場合があります。
- OWA のカレンダー印刷機能が動作しないことがあります。回避策として、印刷したいカレンダーの内容をコピーするかスクリーンショットを取得するか、デスクトップ版の Outlook を利用してください。
- 受信者側の OWA の閲覧ウィンドウで、インライン画像が正しく表示されないことがあります。回避策として、画像はメール添付ファイルとして送信するか、デスクトップ版の Outlook を利用してください。
- OWA Light バージョン (OWA URL の末尾が
/?layout=lightのもの) は正しく動作しません。この機能は数年前に既に非推奨になっており、通常の本番運用向けではありません。 - 緩和策の適用後、
OWACalendar.Proxyhealthset が Unhealthy と表示され始めることがあります。Exchange Server の各種監視ソリューションを利用している場合、これによりアラートが発生する可能性があります。この問題が発生した場合は、修正が提供されて緩和策が解除されるまで、監視プラットフォーム側でこれらのアラートを無視することを推奨します。 - 緩和策の詳細に “Mitigation invalid for this exchange version.” と表示されることがあります。これは表示上の問題であり、状態が “Applied” となっていれば緩和策は正しく適用されています。この問題への対処方法は現在調査中です。
恒久的な対処
Microsoft は、影響を受ける Exchange Server バージョン向けのセキュリティ更新プログラムを準備しており、今後リリースと告知を行う予定です。更新プログラムは Exchange SE RTM、Exchange Server 2016 CU23、Exchange Server 2019 CU14 / CU15 向けに提供されます。これより古い CU を利用している場合は、直ちに更新してください。
Exchange SE 向けの更新プログラムは、一般公開のセキュリティ更新プログラムとして提供されます。一方、Exchange Server 2016 と Exchange Server 2019 向けの更新プログラムは、Exchange Server 2016/2019 向け ESU プログラム 第 2 期 提供開始のお知らせ にある通り、第 2 期 Exchange Server ESU プログラムに参加している組織にのみ提供されます。第 1 期のみ参加していた組織は、2026 年 4 月でそのプログラムが終了しているため、この更新プログラムを受け取れません。
このブログ記事の更新履歴:
- 2026/05/17:
OWACalendar.Proxyhealthset が Unhealthy と表示される既知の問題を追加 - 2026/05/14: OWA Light に関する既知の問題を追加
- 2026/05/14: 緩和策の ID (M2.1.x) を追加
- 2026/05/14: 緩和策の詳細に誤った Description が表示される既知の問題を追加