概要

Oracle E-Business Suite(EBS)の支払処理モジュール「Oracle Payments」に存在する重大な脆弱性CVE-2026-46817が実際に悪用されていることが明らかになった。脅威インテリジェンス企業Defusedによると、6月27日、自社のOracle EBSハニーポットに対して同脆弱性を突く攻撃を観測したという。Shadowserver Foundationの調査では、インターネット上に公開されているEBSインスタンスは約950台に上り、その多くが米国に所在しているが、これらのインスタンスがすべて脆弱であるか、あるいはパッチ適用済みかは不明だとしている。Oracleは今回の脆弱性についてまだ「実際に悪用されている」と公式には認定していない。

脆弱性の技術的詳細

CVE-2026-46817はOracle E-Business Suite内のPaymentsコンポーネントに含まれる「File Transmission」機能に存在する欠陥で、CVSSスコアは最大値に近い9.8(Critical)と評価されている。権限を持たない攻撃者がHTTP経由のネットワークアクセスのみで、低い攻撃難易度のもとシステムを乗っ取れる点が特徴で、認証を必要としない点が被害拡大の一因となっている。The Registerの報道によれば、影響を受けるのはリリース12.2.3から12.2.15までのバージョンで、任意のファイルを読み取られる恐れがあるという。

攻撃のタイムラインと手口

Oracleは2026年5月のCritical Patch Update(定例パッチ)で本脆弱性を修正済みだったが、Defusedが最初に攻撃を確認したのはパッチ公開から約6週間後の6月27日で、しかもこれは脆弱性を突く公開エクスプロイトコードが出回るよりも前のタイミングだった。観測された攻撃は単一の攻撃元から6回の悪用試行が行われ、いずれも動作する実証コードを用いたものであり、無差別なスキャンというよりも機密ファイルを狙った標的型の手口だったとDefusedの研究者は分析している。研究者らは、攻撃者がOracleのセキュリティパッチをリバースエンジニアリングしたか、あるいは独自に非公開のエクスプロイトを保有していた可能性を指摘している。今回の事案は、重要なセキュリティアップデートがそれを解析する準備のある攻撃者にとってはロードマップにもなり得ることを改めて浮き彫りにした。

背景と今後の展望

Oracle製品を狙った攻撃はこれが初めてではない。過去にはShinyHuntersグループがPeopleSoftのゼロデイ脆弱性を悪用して100以上の組織を侵害した事例や、ランサムウェアグループClopがEBS顧客を標的に数ヶ月にわたるキャンペーンを展開した事例があり、今回の一件もこうした流れの延長線上にあると位置づけられている。なお、CISAの「既知の悪用された脆弱性」カタログには2021年11月以降、Oracle製品の脆弱性がすでに44件登録されており(うち13件はランサムウェアグループにも悪用された)、同社製品を狙った攻撃が高止まりしている実態を裏付けている。パッチ未適用のEBSインスタンスを持つ組織は早急な対応が求められる状況だ。