答え公開済み20 ソース
Microsoft Exchangeで同時期に発覚した2つの重大セキュリティ問題
2026年5月、Microsoft Exchangeでは数日以内に2つのセキュリティ問題が発覚:Pwn2Own BerlinでのSYSTEM権限RCEチェーンと、実際に悪用されたゼロデイCVE‑2026‑42897。 Pwn2OwnではDEVCOREのOrange Tsaiが3つの未公開脆弱性を連鎖させ、ExchangeサーバーでSYSTEM権限のリモートコード実行を実証し、賞金20万ドルを獲得した。
1.9M0
AI プロンプト
openai.comCreate a landscape editorial hero image for this Studio Global article: How did Microsoft Exchange get hit by both a major Pwn2Own Berlin 2026 exploit and a separate actively exploited zero-day in the same week,. Article summary: Microsoft Exchange was hit by two different events in the same week: a contest-disclosed Pwn2Own Berlin 2026 exploit chain against Exchange, and a separate real-world zero-day, CVE-2026-42897, that Microsoft said was alr. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "* Microsoft Exchange, Windows 11 hacked on second day of Pwn2Own. During the second day of Pwn2Own Berlin 2026, competitors collected $385,750 in cash awards after exploiting 15 u" source context "Microsoft Exchange, Windows 11 hacked on second day of Pwn2Own" Reference image 2: visual subject "# Micr
2026年5月、Microsoft Exchangeはわずか数日の間に2つの重大なセキュリティ出来事に直面しました。1つは研究者によるハッキング大会での高度な攻撃デモ、もう1つは実際の攻撃で利用されていたゼロデイ脆弱性です。
両者は直接関係のない問題でしたが、共通するポイントがあります。それは インターネットに公開されたオンプレミス版Exchangeサーバーが依然として非常に魅力的な攻撃対象であるということです。
Pwn2Own Berlin 2026で実証されたExchange攻撃チェーン
2026年5月に開催されたセキュリティ研究コンテスト Pwn2Own Berlin 2026 では、複数の企業向け製品に対してゼロデイ攻撃が実演されました。
その中でも注目されたのが、DEVCOREの研究者 Orange Tsai によるMicrosoft Exchangeへの攻撃です。
研究者は 3つの未知の脆弱性を連鎖(チェーン)させることで、Exchange Server上でSYSTEM権限のリモートコード実行(RCE) を達成しました。このデモにより 20万ドルの報奨金が授与されています。
この攻撃の特徴は次の通りです。
- 単一のバグではなく、複数の脆弱性を組み合わせた攻撃チェーン
- Exchangeサーバー上で SYSTEM権限 を取得可能
- 競技ルールにより 最新パッチ適用状態のソフトウェア を対象に実行された攻撃
通常Pwn2Ownでは、ベンダーが修正パッチを作成する時間を確保するため、技術詳細はすぐには公開されません。
重要なのは、この攻撃チェーンが実際の攻撃で使用された証拠は当時確認されていない点です。あくまで研究目的のデモでした。
実際に悪用されたゼロデイ:CVE‑2026‑42897
一方、ほぼ同時期にMicrosoftは すでに攻撃に利用されているExchangeのゼロデイ脆弱性 を公表しました。
この脆弱性が CVE‑2026‑42897 です。
これは Webページ生成時の入力処理不備(クロスサイトスクリプティング:XSS) による問題で、ExchangeのWebインターフェースを通じてスクリプトが実行される可能性があります。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人々も尋ねます
「Microsoft Exchangeで同時期に発覚した2つの重大セキュリティ問題」の短い答えは何ですか?
2026年5月、Microsoft Exchangeでは数日以内に2つのセキュリティ問題が発覚:Pwn2Own BerlinでのSYSTEM権限RCEチェーンと、実際に悪用されたゼロデイCVE‑2026‑42897。
最初に検証する重要なポイントは何ですか?
2026年5月、Microsoft Exchangeでは数日以内に2つのセキュリティ問題が発覚:Pwn2Own BerlinでのSYSTEM権限RCEチェーンと、実際に悪用されたゼロデイCVE‑2026‑42897。 Pwn2OwnではDEVCOREのOrange Tsaiが3つの未公開脆弱性を連鎖させ、ExchangeサーバーでSYSTEM権限のリモートコード実行を実証し、賞金20万ドルを獲得した。
次の実践では何をすればいいでしょうか?
CVE‑2026‑42897はOWA(Outlook Web Access)を狙うXSS脆弱性で、Exchange Server 2016・2019・Subscription Editionに影響し、CISAのKEVカタログにも登録された。
情報源
- cyberinsider.comMicrosoft Exchange zero-day chain nets DEVCORE $200K at Pwn2Own
- bleepingcomputer.comMicrosoft Exchange, Windows 11 hacked on second day of Pwn2Own
- zerodayinitiative.comPwn2Own Berlin 2026 - Day Two Results
- nvd.nist.govCVE-2026-42897 Detail - NVD
- securityaffairs.comCVE-2026-42897: Microsoft confirms active exploitation of ...
Loading comments...
Comments
0 comments