2026年6月10日、Microsoftが月例のセキュリティ更新プログラムを公開しました。中でもExchange Server のなりすましの脆弱性(CVE-2026-42897)は悪用が確認されており、Exchangeを自社運用している組織は早急な更新適用が必要です。情報システム部門としては、対象範囲の洗い出しと適用の優先順位付けが当面の仕事になります。
この記事でわかること
- 2026年6月の月例更新で特に注意すべき脆弱性
- 悪用が確認されているExchangeの脆弱性(CVE-2026-42897)の位置づけ
- 限られた人員でパッチ適用をどう回すか(優先順位の考え方)
2026年6月の月例更新で何が公開されたか
Microsoftは毎月第2火曜(日本時間では水曜)に複数の脆弱性をまとめて修正します。今月の更新で実務上もっとも優先度が高いのは、すでに悪用が確認されているExchange Serverの脆弱性です。
| 項目 | 内容 |
|---|---|
| 公開日 | 2026年6月10日(JPCERT/CC注意喚起) |
| 特に注意 | CVE-2026-42897:Microsoft Exchange Server の「なりすまし」の脆弱性 |
| 悪用 | あり(悪用が確認済み) |
| 対応 | Windows Update / Microsoft Update でセキュリティ更新を適用 |
悪用が確認されたExchangeの脆弱性とは?
CVE-2026-42897は、オンプレミスのExchange Serverに存在する「なりすまし(spoofing)」の脆弱性で、すでに攻撃に悪用されています。メールサーバは社内外の通信が集まる要であり、侵害されればなりすましや情報窃取の足がかりになりかねません。Exchangeをオンプレミスで運用している組織は、最優先で更新を検討してください。
現場目線:毎月のパッチ適用という地道な戦い
正直なところ、月例更新の適用は「地味で終わりのない作業」です。すべての更新を即日適用できれば理想ですが、業務システムとの互換性検証や再起動のタイミング調整があり、現実にはそう簡単ではありません。だからこそ、「悪用が確認されているもの」「インターネットに露出している重要サーバ」から優先して当てるという割り切りが要ります。すべてを完璧にやろうとして全体が止まるより、危険なものから順に潰していく運用のほうが現実的です。
適用の判断材料としては、提供元の一次情報が確実です。下記の注意喚起で対象や深刻度を確認したうえで、自社の優先順位に落とし込んでください。
まとめ
- 2026年6月の月例更新では、Exchangeのなりすまし脆弱性(CVE-2026-42897)が悪用確認済みで最優先。
- すべてを即適用は難しい。悪用確認済み・外部露出の重要サーバから優先するのが現実解。
- 対象・深刻度はJPCERT/CC・IPAの一次情報で確認し、自社の優先順位に落とし込む。
出典
- JPCERT/CC「2026年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起」 https://www.jpcert.or.jp/at/2026/at260017.html
- IPA「Microsoft 製品の脆弱性対策について(2026年6月)」 https://www.ipa.go.jp/security/security-alert/2026/0610-ms.html
コメント