2026 年 7 月の Exchange Server のセキュリティ更新プログラムが公開されました

Last Update:

※ この記事は、Released: July 2026 Exchange Server Security Updates の抄訳です。最新の情報はリンク先をご確認ください。この記事は Microsoft 365 Copilot および GitHub Copilot を使用して抄訳版の作成が行われています。

Microsoft は、以下の製品に存在する脆弱性に対応するセキュリティ更新プログラム (SU) をリリースしました。

  • Exchange Server Subscription Edition (SE)
  • Exchange Server 2019
  • Exchange Server 2016

以下の Exchange Server のバージョン向けに SU が提供されています。

2026 年 7 月のセキュリティ更新プログラム (SU) は、セキュリティ パートナーから責任を持って報告された脆弱性や、Microsoft の内部プロセスによって発見された脆弱性に対応しています。

これらの脆弱性は Exchange Server に影響します。Exchange Online のお客様は、今回のセキュリティ更新プログラムで対応された脆弱性について既に保護されていますので、特別な対応は不要です。ただし、環境内に存在する Exchange サーバーや Exchange 管理ツールをインストールしたワークステーションについては、引き続き更新プログラムの適用を行ってください。

特定の脆弱性 (CVE) に関する詳細は、Security Update Guide (Exchange SE については Product Family で “Server Software” でフィルター、Exchange Server 2016 および 2019 については Product Family で “ESU” でフィルター) を参照してください。

レガシー Exchange セキュリティ グループの存在確認

今回の 2026 年 7 月の SU リリースと直接関係ありませんが、Exchange Health Checker スクリプト で、非常に古く既に非推奨となっている Exchange Server のセキュリティ グループである Exchange Domain ServersExchange Enterprise Servers の存在有無も確認できるようになりました。これらのグループは Exchange Server 2007 以降で非推奨となっており、現在は使用されるべきではありません。また、最新の Exchange セキュリティ グループよりも広範な権限を持つ可能性があるため、存在する場合は削除することを推奨します。関連ドキュメントはこちら を参照してください。

また、既にオンプレミスの Exchange Server をすべて廃止している環境についても、これらのグループが残っていないか確認し、存在する場合は削除することで、不正利用のリスク低減につながります。さらに、オンプレミスの Exchange Server を完全に廃止している環境では、これらのグループの削除に加え、関連する Active Directory オブジェクトのクリーンアップも実施することをお勧めします。詳細は、こちらの記事 を確認してください。

CVE-2026-42897 の緩和策の削除について

2026 年 7 月の更新プログラムをインストールしても、既に適用済みの CVE-2026-42897 緩和策は自動的には削除されません。そのため、7 月の SU をインストールした後は、適用方法に応じて以下の対応を実施してください。

Exchange Emergency Mitigation (EM) Service を使用して緩和策を適用していた場合:

注: 2026 年 7 月の更新プログラムを、CVE-2026-42897 の緩和策が不要なビルドとして扱うための EM Service 側の変更は、現在展開中であり、展開完了予定日は 2026 年 7 月 16 日です。
この更新が完了するまでは、EM Service により緩和策が再適用されます。

ダウンロード可能な EOMT スクリプト https://aka.ms/UnifiedEOMT を使用して緩和策を適用していた場合:

Exchange 2016 および 2019 の更新プログラムは第 2 期 ESU プログラムでのみ提供されています

Exchange Server 2016 および 2019 はサポートが終了 しています。2026 年 5 月から 10 月までの間にリリースされる Exchange Server 2016 および 2019 のセキュリティ更新プログラムを入手できるのは、第 2 期 Extended Security Update (ESU) プログラム に登録しているお客様のみです。

第 2 期 ESU プログラムに参加していない場合は、Exchange Server Subscription Edition (SE) に移行 して、最新のセキュリティ更新プログラムを引き続き受け取ってください。

既に第 2 期 ESU を購入済みで、最新のセキュリティ更新プログラムへのアクセスに関する情報が必要な場合は、ExchangeandSfBServerESUInquiry@service.microsoft.com にメールを送信してお問い合わせください。

このリリースの既知の問題

更新プログラムのインストール

利用可能な更新パスは以下の通りです。

よくあるご質問

CVE-2026-42897 の緩和策がリリースされたとき、いくつかの既知の問題が報告されていました。この更新プログラムではそれらは解決されていますか?
はい。2026 年 7 月の SU をインストールし、緩和策を削除すると、緩和策による既知の問題も解決されます。

一部のサーバーを更新したものの、他のサーバーを更新できない場合、更新できないサーバーでは CVE-2026-42897 の緩和策を有効にしたままにできますか?更新済みのサーバーと、緩和策を利用したままのサーバーが混在していても問題ありませんか?
2026 年 7 月の SU 以降に更新できないサーバーでは、緩和策を引き続き利用できます。ただし、そのサーバーでは緩和策による既知の問題も引き続き発生します。また、この更新プログラムを適用した後、組織内のすべての Exchange サーバーが更新されるまで、Office Online Server (OOS) と Exchange Server の統合が期待通りに機能しない場合があります。

弊社の環境は Exchange Online とのハイブリッド構成ですが、対応は必要ですか?
Exchange Online は既に保護されていますが、管理目的のみで利用している場合も含め、オンプレミスの Exchange サーバーには今回のセキュリティ更新プログラム (SU) を必ずインストールしてください。SU 適用後に認証証明書を変更する場合は、ハイブリッド構成ウィザードを再実行する必要があります。

最後にインストールした SU/HU は数か月前のものですが、最新の SU をインストールするためにすべての SU を順番に適用する必要がありますか?
すべての SU は累積的です。サポートされている CU を使用している場合、すべての SU や HU を順番にインストールする必要はなく、最新の SU を適用するだけで問題ありません。詳細はこちらのブログ記事 を確認してください。

組織内のすべての Exchange Server に SU をインストールする必要がありますか?”Exchange 管理ツールのみ” インストールされたマシンはどうなりますか?
すべての Exchange Server および Exchange 管理ツールがインストールされたすべてのサーバー / ワークステーションに SU を適用することを推奨します。これにより、管理ツールのクライアントとサーバー間の互換性が確保されます。稼働中の Exchange Server が存在しない環境で Exchange 管理ツールのみを更新する場合は、こちら を確認してください。

弊社は Exchange 2016 および 2019 の第 2 期 ESU を登録していません。現在の Exchange 2016 または 2019 の更新プログラムを入手するにはどうすればよいですか?
Exchange 2016 および 2019 は現在サポートが終了 しているため、第 2 期 ESU プログラム に登録しているお客様 (2026 年 5 月から 10 月まで有効) のみが、2026 年 5 月以降にリリースされる Exchange 2016 または 2019 の更新プログラムを入手できます。Exchange 2016 または 2019 を引き続き利用しているすべてのお客様には、できるだけ早く Exchange SE にアップグレード することを推奨します。

本記事公開時点では、関連するドキュメントが完全には利用できない場合があります。

この記事は今後更新される可能性があります。更新があればここに記載します。