毎月の月例パッチ、自社のサーバ・端末すべてに当て切れているだろうか。 2026年6月は、Windows環境の運用担当にとって、見過ごせない2つの課題が重なる。1つは、オンプレミスのExchange Serverに存在し実際に悪用が確認されている脆弱性 CVE-2026-42897。もう1つは、2011年発行のSecure Boot証明書が6月下旬に失効することだ。いずれも「月例パッチを当てているか」「自社の資産と更新状況を把握できているか」という更新統制を問う。

本記事では、確定している事実を一次情報で正確に押さえたうえで、メール基盤の守りと、更新統制の仕組み化を整理する。

この記事の要点

  • CVE-2026-42897は、オンプレExchange Server(2016/2019/Subscription Edition)のOWAに関わるXSS(クロスサイトスクリプティング)によるなりすましの脆弱性。実際に悪用が確認され、CISAのKEV(悪用が判明した脆弱性カタログ)に登録されている。Exchange Onlineは非該当。
  • 深刻度はMicrosoftの評価でCVSS 8.1(NVDでは6.1と評価が分かれる)。当初は緩和策(EEMS自動緩和/EOMT)が先行提供され、恒久修正は月例更新で順次提供される見込み。5月14日に公表された脆弱性であり、特定月のパッチに限った話ではなく、継続的な対応課題
  • 加えて、2011年発行のSecure Boot証明書が2026年6月下旬(Microsoft Corporation KEK CA 2011は6月24日、UEFI CA 2011は6月27日)に失効する。未更新の端末は新たな起動時の保護を受けられなくなるため、2023年証明書への更新が必要。
  • 本質的な課題は、こうした更新を全サーバ・全端末に確実に当て続ける「更新統制」が回っているか。

課題①:Exchangeの既知悪用脆弱性 CVE-2026-42897

メール基盤は、業務の中枢であり、攻撃者にとって価値の高い標的だ。オンプレExchange Serverに関わるCVE-2026-42897は、その典型例といえる。

項目内容
種別XSS(クロスサイトスクリプティング)によるなりすまし
対象Exchange Server 2016/2019/Subscription Edition(OWA)。Exchange Onlineは非該当
深刻度Microsoft評価でCVSS 8.1(NVDでは6.1。評価が分かれる)
悪用状況実際に悪用が確認され、CISAのKEVに登録
対応当初は緩和策(EEMS自動緩和/EOMT)が先行。恒久修正は月例更新で順次提供見込み

この脆弱性は2026年5月14日に公表されており、特定の月のパッチに限った話ではなく、継続して対応すべき課題だ。重要なのは、(1) 自社がオンプレExchange(2016/2019/SE)を運用しているかを把握し、(2) Microsoftが案内する緩和策・更新を適用できているか、を確認すること。Exchange Onlineは対象外だが、「自社のメール基盤は何で動いているか」を即答できない状態こそリスクだ。

補足:オンプレExchangeは脆弱性対応・運用負荷の観点から、クラウド(Exchange Online等)への移行も選択肢になる。老朽化したオンプレ基盤の刷新はWindows 10 EOL移行の費用と補助金ガイドの考え方が参考になる(OS・基盤の更新を「期限ドリブン」で計画する点で共通する)。

課題②:Secure Boot 2011年証明書の失効(6月下旬)

もう1つの締切が、Secure Bootの証明書失効だ。Secure Bootは、PC起動時に署名された正規のソフトウェアだけを実行させ、起動段階のマルウェア(ブートキット等)を防ぐ仕組み。その信頼の土台となる2011年発行の証明書が、2026年に順次失効する。

  • Microsoft Corporation KEK CA 2011:2026年6月24日 失効
  • Microsoft Corporation UEFI CA 2011:2026年6月27日 失効(サードパーティ/Linux系ブートローダーの署名に使用)
  • (Windows本体のブートローダー署名に使うWindows Production PCA 2011は2026年10月19日)

未更新の端末は、起動を続け通常のWindows更新も受けられるが、新たな起動時のセキュリティ保護(ブートマネージャの更新、Secure Bootデータベースの更新、失効リストの配布、起動段階の新たな脆弱性への対策)を受けられなくなる。対策は、2023年発行の証明書への更新を端末に適用すること。2024年以降に製造された多くのPCには既に適用済みのこともあるが、自社の端末が更新済みかは確認が必要だ。

本質的な課題は「更新統制」

この2つの課題に共通するのは、個々の脆弱性や証明書そのものより、「自社の全サーバ・全端末に、必要な更新を確実に当て続けられるか」という更新統制だ。

  • どのサーバ・端末が・何のソフト(Exchangeのバージョン、Secure Bootの証明書状態)か、台帳が最新でない
  • 月例パッチの適用が現場任せ・属人化していて、漏れが放置される
  • インターネットに面した資産(メール基盤等)の棚卸しができていない
  • 「期限のある対応」(証明書失効、EOL)を逆算管理できていない

人手で毎月これを回すのは限界がある。資産・バージョン・更新状況を自動で集約・可視化し、「必要な対応を、対象資産を即座に特定して当てられる」状態をつくることが要だ。考え方はゼロトラスト・セキュリティの実装ガイド(中小企業向け)ランサムウェア対策 完全ガイド(中小企業向け)が参考になる。

「自社のメール基盤と端末、更新できていますか」

GXOでは、サーバ・端末の棚卸しから、月例パッチ・証明書更新・EOL対応の運用設計、オンプレExchangeのクラウド移行検討まで支援しています。「何が動いているか把握できていない」段階のご相談を歓迎します。

更新統制を相談する → GXO お問い合わせ

※ 営業電話はしません | オンライン対応可 | 構想段階の相談だけでもOK

よくある質問(FAQ)

Q1. CVE-2026-42897は自社に関係ありますか?

オンプレミスのExchange Server(2016/2019/Subscription Edition)を運用している場合は関係します。クラウドのExchange Onlineは対象外です。まず自社のメール基盤がオンプレExchangeかどうかを確認し、該当する場合はMicrosoftが案内する緩和策(EEMS自動緩和等)・更新の適用状況を確認してください。

Q2. 深刻度は「8.1」で合っていますか?

MicrosoftはCVSS 8.1と評価していますが、NVD(米国の脆弱性データベース)では6.1と評価が分かれています。数値の解釈はさておき、実際に悪用が確認されCISAのKEVに登録されている点が重要で、悪用実績のある脆弱性として優先的に対応すべきです。

Q3. Secure Boot証明書が失効すると、PCは起動しなくなりますか?

いいえ。未更新でも起動は続き、通常のWindows更新も受けられます。ただし、起動段階の新たなセキュリティ保護(ブートマネージャ更新、失効リスト配布など)を受けられなくなります。2023年発行の証明書への更新を適用することが対策です。自社端末が更新済みかを確認してください。

Q4. 毎月のパッチ適用が回りません。どうすれば?

資産台帳・OS/ソフトのバージョン・更新状況を自動で集約・可視化する仕組みを持つことが有効です。人手の棚卸しでは、台数が増えるほど漏れが生じます。期限のある対応(証明書失効・EOL)も逆算管理できる運用に乗せることで、「必要な更新を、対象を特定して確実に当てる」状態がつくれます。

まとめ:2つの締切を、更新統制の点検機会に

2026年6月は、実際に悪用が確認されているExchangeの脆弱性CVE-2026-42897と、Secure Boot 2011年証明書の失効(6/24・6/27)という2つの課題が重なる。いずれも、個々の対応にとどまらず、「自社の全サーバ・全端末に、必要な更新を確実に当て続けられるか」という更新統制を問うものだ。

人手の運用には限界がある。資産・バージョン・更新状況を自動で可視化し、期限のある対応を逆算管理できる仕組みづくりが、継続的な防御につながる。GXOは、棚卸しから運用設計、オンプレ基盤のクラウド移行検討まで支援している。詳細はセキュリティ運用伴走セキュリティ事業インシデント対応支援をご覧いただきたい。

棚卸しから、更新統制の仕組み化まで相談しませんか

「サーバ・端末が何台あり、何が動いているか正確に分からない」状態でも大丈夫です。現状把握から、月例パッチ・証明書・EOL対応の運用設計、オンプレExchangeのクラウド移行検討まで整理します。

更新統制の現在地を相談する → GXO お問い合わせ

参考情報

  • Microsoft Exchange Team Blog「Addressing Exchange Server May 2026 vulnerability CVE-2026-42897」(オンプレExchange 2016/2019/SE。XSSによるなりすまし。緩和策EEMS/EOMT):https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498
  • NVD CVE-2026-42897(NVD評価CVSS 6.1。Microsoft評価は8.1と分かれる):https://nvd.nist.gov/vuln/detail/CVE-2026-42897
  • Microsoft Support「Windows Secure Boot certificate expiration and CA updates」(2011年発行証明書の失効:KEK CA 2011=6/24、UEFI CA 2011=6/27、Windows Production PCA 2011=10/19。2023年証明書への更新が必要):https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e
  • ※ 6月の月例更新で修正されたCVEの総数や、恒久修正の提供状況は変動しうるため、最新情報はMicrosoft Security Update Guide(msrc.microsoft.com)で確認のこと。本記事では確定していない件数・断定は避けている。

関連記事