悪用進行中のCVE-2026-42897──OWA経由のXSSが招く“なりすまし”と組織内横展開の現実

今日の深掘りポイント

• Exchange on-premの「ブラウザ面」からの侵入が再び注目です。XSS由来のスプーフィングは「RCEではないから軽い」とは言えず、セッション乗っ取りや権限内操作の自動化を通じて業務メールを起点に深い侵害へつながりやすいです。
• Outlook Web Access（OWA）での閲覧が発火条件になるため、公開OWAを抱える組織は直ちに緩和策と境界制御（IP制限・VPN前段など）を再点検すべきです。
• Exchange Emergency Mitigation（EEM）は即効性のあるブレーキですが、適用有無の監査・例外サーバの棚卸し・適用失敗時の運用手順が鍵です。
• 横展開の現実的ルートは「メール転送ルール設定」「Send-As/委任の付与」「EWS/APIの乱用」。検知の重心を“ブラウザのJS実行”ではなく“メールサーバ側での不審操作”に置くべきです。
• 実攻撃下での公表というシグナルは、運用側に「最短での恒久パッチ適用」「公開面の縮退」「ハンティングの即日着手」を求めています。待ちの姿勢はリスクが高いです。

はじめに

MicrosoftがオンプレミスのExchange Server向けにCVE-2026-42897を公表し、すでに悪用が確認されていると警告しています。欠陥はクロスサイトスクリプティング（XSS）由来のスプーフィングで、特定条件下でOWA表示時に悪意のJavaScriptが動きうるという性質です。対象はExchange Server 2016/2019/Subscription Editionで、MicrosoftはExchange Emergency Mitigation（EEM）経由の一時緩和を提供中、恒久修正を準備中です。

本件は「コード実行型ではないから影響が限定的」という見立てが危険で、現実の運用ではOWAのセッション・トークンやユーザ権限の代行操作が取られれば、メール情報の収集・転送設定・なりすまし送信・さらに管理プレーン（ECP/EWS）経由の操作へと波及しうるからです。過去のExchange関連事案が示したように、メールは諜報・金銭双方の作戦において初手であり続けます。今回のシグナルは、政府機関や中堅・中小で根強いオンプレExchangeの“公開OWA”という弱点に、再び光を当てていると言えます。

深掘り詳細

事実関係（いま分かっていること）

• 脆弱性: CVE-2026-42897（XSSに起因するスプーフィング）です。
• 影響製品: オンプレミスのExchange Server 2016、2019、Subscription Editionです。
• トリガー条件: 特定の条件下で、Outlook Web Access（OWA）でメールが開かれた場合に悪意のJavaScriptが実行されうる、という説明です。
• ステータス: 実際の攻撃に利用されている状況で、MicrosoftはExchange Emergency Mitigation（EEM）を通じた一時的な緩和策を提供、恒久的な修正を準備中です。

上記は公表情報と今回の報道から読み取れる確度の高い事実に絞っています。技術的詳細（具体的なDOMコンテキスト、サニタイズの抜け、発火に必要なユーザー操作の程度など）は現時点では限定的にしか示されていない前提で扱います。

Packet Pilotの視点（何が本質的リスクか）

• 「XSS＝ブラウザ側の一過性」と過小評価しないことが重要です。ExO（クラウド）ではなくオンプレであっても、OWAは管理・ユーザ双方のゲートであり、JSが同一セッション文脈で動けるなら、利用者の代わりにECPやOWA/EWSのAPI呼び出しを“正規のセッション”として実行できる可能性があります。これは実効的ななりすましです。
• 実運用への落とし込みでは、被害はクライアントPC内に閉じず、サーバ側状態（メールボックスの転送ルール、委任権限、アドイン、アーカイブ・eDiscovery関連設定など）という“持続する痕跡”として現れます。検知・復旧の観点ではここを観るのが効果的です。
• EEMは有効ですが、組織には「適用できないサーバ」「インターネット非到達でEEMを受け取れない環境」「リバースプロキシ越しでの適用差」のような“穴”が常に存在します。緩和の網羅性を棚卸しし、公開面の縮退（IP許可リスト/VPN前段/メンテナンス中の一時遮断）を併用するのが現実的です。
• 本件のスコアリングは、緊急度・実行可能性・悪用状況に強いシグナルが出ていると読みます。現場の意思決定では、「恒久パッチ待ち」ではなく「今日のうちに（1）緩和の完全適用、（2）公開制御、（3）サーバ側設定のハンティング」をセットで回す判断が肝になります。

脅威シナリオと影響

以下は公開情報からの推測を含む仮説です。具体的なエクスプロイト手順や前提条件は今後のベンダー詳細で変わる可能性がある前提で提示します。

• シナリオA：メール閲覧を起点にしたセッション乗っ取りとメール流出

  • 手口（仮説）:
    1. 攻撃者が細工メールを送付
    2. 受信者がOWAで当該メールを表示
    3. XSSでOWAセッション文脈のJSが実行され、セッショントークンの窃取または被害者権限でのAPI操作が行われる
    4. 既存メールの大量ダウンロード、フォワード設定の追加、外部アドレスへの自動転送
  • 想定ATT&CK:
    • Initial Access: Phishing（T1566）
    • Execution: Exploitation for Client Execution（T1203）、User Execution（T1204）
    • Credential Access/Defense Evasion: Use of Web Session Cookie（T1550.004）［仮説：セッショントークン悪用］
    • Collection: Email Collection（T1114.002）
    • Exfiltration: Exfiltration Over Web Services（T1567.002）

• シナリオB：権限内操作の悪用による持続化

  • 手口（仮説）:
    1. XSSでECP/OWA APIを被害者権限で呼び出し
    2. 受信トレイルール作成、外部転送、委任/Send-Asの付与、アドイン導入など“サーバ側に残る設定変更”
    3. ユーザーがセッションを閉じても、設定により継続的に情報が流出
  • 想定ATT&CK:
    • Persistence: Modify Mailbox Rules（T1114.003）
    • Defense Evasion: Valid Accounts（T1078）［仮説：権限委任の悪用］
    • Exfiltration: Exfiltration Over Web Services（T1567.002）

• シナリオC：管理系への波及（限定条件下の仮説）

  • 手口（仮説）:
    1. 管理者がOWAで該当メールを開いた場合、同セッション文脈で管理系操作が代行されるおそれ
    2. 複数メールボックスへのアクセス権付与、組織全体の転送ルール作成などの“広域変更”
  • 想定ATT&CK:
    • Privilege Escalation/Impact（状況依存）
    • Discovery: Permission Group Discovery（T1069.002）
    • Lateral Movement: Use of Web Session Cookie（T1550.004）［仮説］

影響の実相としては「短時間で広範なデータ接触」と「目立ちにくいサーバ側構成変更」が組み合わさりやすいです。特に中堅・中小や地方公共団体のように、公開OWAが“働き方の生命線”になっている環境では、遮断判断のハードルが高いぶん被害が長引くリスクがあります。ここは意思決定のスピードが成否を分けます。

セキュリティ担当者のアクション

優先度順で、今日から実施できる現実的な手順を提示します。

• 直ちに

  • EEM（Exchange Emergency Mitigation）の有効化と適用確認を全サーバで実施します。オフラインやプロキシ越しの適用不可ノードを棚卸しし、例外対応を決めます。
  • OWAの公開面を縮退します。VPN前段、IP許可リスト、地理的ブロック、時間帯制限など、できる範囲の境界制御を即時にかけます。緊急時は一時的な外部公開停止も検討します。
  • 既知悪用の前提でサーバ側痕跡をハントします（期間は直近数週間〜現在）。
    • 新規・変更された受信トレイルール（外部転送／自動転送／特定ドメイン宛の移動）
    • “Send-As/FullAccess/委任”の付与変更
    • 不審なEWSアクセスの急増（未知のUser-Agentや短時間の大量取得）
    • 異常な外向きメール送信や自動転送のスパイク
  • 疑わしい挙動が見つかったアカウントは、強制サインアウト、パスワードリセット、必要に応じてOWA/ECPのセッション無効化（アプリケーションプールのリサイクルなどを含む運用手順に従う）を実施します。

• 48時間以内に

  • WAF/リバースプロキシでOWA/ECP/EWS向けのXSSシグネチャを強化します。特にHTML/IMG/SVG/イベントハンドラ（onload/onerrorなど）を含むリクエスト・レスポンスの検査を厳しめにします（誤検知の影響評価を並走します）。
  • 監査の定常化：転送ルール・委任権限・トランスポートルール・共有メールボックスの権限差分を定期レポート化します。
  • ログの保全と可視化：IISログとExchange関連ログの保持期間を延伸し、OWA/ECP/EWSの操作可視化ダッシュボードを作ります。

• パッチ公表時に

  • 先行検証用のステージングを用意し、恒久修正を最短で本番に反映します。EEMの緩和はパッチ適用後の検証で段階的に解除します。
  • 適用後に再度、転送ルール・権限差分・EWSアクセスのベースラインを確立し、侵害前提の継続監視を数週間走らせます。

• 中期対応（構造的リスク低減）

  • OWAの外部公開ポリシーを見直し、「VPNまたは特定端末・ネットワークからのみ」を標準に寄せます。
  • 役割分離と最小権限：管理者が日常メール閲覧を管理権限セッションと同居させない運用（管理用アカウントの分離）を徹底します。
  • メール経由の事業リスク再評価：自動転送の既定禁止、特定ドメインのみ許可、外部転送作成時の承認フローなど“サーバ側で制御可能な抑止策”を標準化します。

参考情報

• The Hacker News: On-Prem Microsoft Exchange Server CVE-2026-42897（英語）

上記は現時点の公表範囲と報道に基づく分析で、技術詳細は今後のMicrosoftの恒久修正やアドバイザリ更新で明らかになる点があります。とはいえ「すでに悪用中」という事実は、対策の順番を変えます。緩和適用・公開面縮退・サーバ側痕跡ハンティング——この三点を今日中に回すことが、明日のリカバリーコストを桁違いに下げる最短ルートです。今回の教訓を、公開OWAの当たり前を見直す機会にしていきたいです。