Oracle E-Business Suite の重大脆弱性(CVE-2026-46817・CVSS 9.8)がパッチ配布から6週間後にサイバー攻撃へ悪用

セキュリティニュース

投稿日時: 更新日時:

Oracle E-Business Suite の重大脆弱性(CVE-2026-46817・CVSS 9.8)がパッチ配布から6週間後にサイバー攻撃へ悪用

2026年6月27日、脅威インテリジェンス企業Defusedは自社が運用するOracle E-Business Suite(EBS)ハニーポットにおいて、CVE-2026-46817の野生での悪用を初めて観測したと公表しました。脆弱性そのものはOracleが2026年5月28日に発行したMay 2026 Critical Security Patch Update(CSPU)で修正済みであり、公開された概念実証コード(PoC)は存在しないにもかかわらずサイバー攻撃が発生したことで、攻撃者が独自にエクスプロイトツールを開発していた可能性が高まっています。

CVSSスコアは9.8(Critical)で、認証不要・ユーザー操作不要・ネットワーク越しにHTTP経由でOracle Paymentsを完全に乗っ取れるとされており、EBSをインターネットに公開したまま未パッチの状態で運用している組織は深刻なリスクにさらされています。

サマリー

  • CVE-2026-46817はOracle E-Business Suite(バージョン12.2.3〜12.2.15)のOracle Payments・File Transmissionコンポーネントに存在する認証不要のリモート脆弱性。CVSSスコア9.8(Critical)
  • 根本原因はCWE-269(権限管理不備)・CWE-287(認証不備)・CWE-306(重要機能の認証欠如)の複合。OracleはHTTP越しに未認証の攻撃者がOracle Paymentsを完全に乗っ取れると説明
  • 2026年5月28日のOracle May 2026 CSPUでパッチが提供済み。June 2026 CSPU(6月16日)でも追加的な対策が発行
  • Defusedは2026年6月27日05:38に自社EBSハニーポットで初の悪用を観測。単一ソースからの6回の未認証ファイル読み取り試行で、PoCが存在しない段階での攻撃はプライベートエクスプロイトツールの存在を示唆
  • 攻撃はPort 443への/OA_HTML/ibytransmitへのHTTP POSTリクエストで、Oracle iPayment伝送プロトコルを悪用したXMLペイロードによりサーバー内ファイルの読み取りを試みるもの
  • Shadowserver観測では6月28日に世界456件のヒットを記録(北米193・アジア181・欧州53・南米18・アフリカ9・オセアニア2)。インターネット公開中のOracle EBSインスタンスは450件超
項目 内容
CVE番号 CVE-2026-46817
CVSSスコア 9.8(Critical)
CVSSベクタ CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE CWE-269・CWE-287・CWE-306
影響製品 Oracle E-Business Suite 12.2.3〜12.2.15(Oracle Payments・File Transmissionコンポーネント)
攻撃条件 認証不要・ユーザー操作不要・HTTP経由のネットワークアクセスのみ
影響 Oracle Paymentsの完全乗っ取り(機密性・完全性・可用性すべてに高い影響)
パッチ提供日 2026年5月28日(May 2026 CSPU)・2026年6月16日(June 2026 CSPU)
野生悪用の初観測 2026年6月27日05:38(Defused社ハニーポット)
公開PoC 存在しない
観測された攻撃エンドポイント /OA_HTML/ibytransmit(Port 443)

Oracle E-Business Suiteと今回の脆弱性の位置づけ

Oracle E-Business Suite(EBS)は、財務会計・調達・在庫・人事・決済処理を統合管理するOracleのエンタープライズERPプラットフォームです。特にOracle Paymentsは支払処理フロー全体のコアとして位置づけられており、取引決済や銀行インターフェースに関わるデータが集中します。このコンポーネントが完全に乗っ取られた場合の影響は、一般的なシステムの侵害とは異なり、決済データの不正操作・口座情報の窃取・資金移動の改ざんといった財務的被害に直結し得る深刻さがあります。

Oracleは今回の脆弱性について、May 2026 CSPUの公式マトリクスに「Easily exploitable vulnerability allows unauthenticated attacker with network access via HTTP to compromise Oracle Payments. Successful attacks of this vulnerability can result in takeover of Oracle Payments」と記載しています。OracleがCSPUの脆弱性記述に「takeover」という表現を使う場合、機密性・完全性・可用性のすべてに高い影響があることを意味します。今回のCVSSベクタ(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)がその範囲を明示しています。

今回のCSPUではEBSに対して12件の新しいセキュリティパッチが含まれており、そのうち認証不要でリモートから攻撃可能なものは3件とされています。CVE-2026-46817はこの3件の中で唯一、機密性・完全性・可用性のすべてに完全な影響があるとされた最高リスクの脆弱性です。

悪用の実態-Defusedハニーポットが捉えた攻撃の詳細

Defusedが6月30日に公表した報告によれば、同社のEBSデコイ(ハニーポット)が2026年6月27日05:38(UTC)に初の悪用を記録しました。パッチ提供から約6週間後、公開されたPoCが一切存在しない段階での悪用であることが際立っています。

観測された攻撃はOracle iPaymentのFile Transmissionエンドポイント/OA_HTML/ibytransmitへのHTTP POSTリクエストで、XMLフォーマットの<DeliveryRequest>ボディにOracle内部のJava関数を直接呼び出す指示が含まれていました。ペイロードにはCODEX_PULL伝送スキームとFULL_FILE_PATH=/etc/passwdパラメータが設定されており、サーバーのファイルシステム上にあるOS設定ファイルを未認証で読み取ろうとするローカルファイル読み取り攻撃の試みです。Help Net Securityの報道によれば、このエクスプロイトはOracleの内部Javaファンクションを直接呼び出して、その処理をファイル読み取りにリダイレクトする仕組みとなっています。

Defusedが公開したタイムラインによると、6月27日05:38に最初の試みが記録され、07:08〜07:33にかけて同一ソースからさらに5回の試みが行われています。

ツールはユーザーエージェントとしてibytransmit-lab-poc/1.0を名乗っており、汎用のスキャナーではなく専用に製作されたツールを使っていることが確認されています。Defusedはこの活動について「広範なスキャンではなく、単一ソースによる標的を絞った概念実証」と評価しています。

攻撃元IPアドレスは45.84.137.125で、フランスを拠点とするAS136787 PacketHub S.A.に帰属するものとされています。

パッチから悪用までの約6週間が示すもの

May 2026 CSPUが公開されたのは2026年5月28日です。悪用が初めて観測された6月27日までの期間は約30日となります。公開PoCが存在しない中での悪用は、攻撃者がパッチそのものをリバースエンジニアリングしてエクスプロイトを独自に開発した可能性を強く示唆します。Secure Bulletinをはじめとした複数のメディアがこの点を指摘しており、パッチのリバースエンジニアリングはランサムウェアグループやAPTアクターが常用する手法であることを踏まえると、今回の攻撃者は相応の技術力と動機を持つと考えるのが自然です。

Oracleは過去のCSPUでも「Oracleはすでにパッチを提供した脆弱性を悪意ある目的で悪用しようとする報告を定期的に受けている。一部ではパッチを適用していない顧客を標的にした攻撃が成功したという報告もある」と繰り返し警告してきました。今回のケースはまさにその状況であり、パッチを適用しないまま公開されていたEBSインスタンスは、Defusedが観測した段階より以前から標的にされていた可能性も排除できません。

広がるスキャン活動とインターネット公開インスタンスの現状

Defused社のハニーポット観測とは別に、Shadowserver Foundationが5月30日〜6月28日にかけて収集したデータは、CVE-2026-46817を狙ったスキャン・攻撃トラフィックが複数のリージョンで計測されていることを示しています。6月28日1日だけでも北米193件・アジア181件・欧州53件・南米18件・アフリカ9件・オセアニア2件の計456件のヒットが確認されました。地理的な広がりは、特定の標的を狙った攻撃というよりも、インターネット上に公開されているEBSインスタンスを手当たり次第に探索する形の活動が並行して起きていることを示唆しています。

Shadowserverが現在把握しているインターネット公開中のOracle EBSインスタンスは450件超で、そのうち約200件が米国と欧州に集中しています。パッチ適用済みかどうかの内訳については現時点では不明ですが、5月28日以降もインターネット公開のまま未パッチで稼働していたインスタンスが存在する可能性は高いとみられます。

Oracle EBSをめぐる脆弱性連鎖とランサムウェアリスク

今回の脆弱性は、Oracle EBSをめぐるセキュリティインシデントが続く流れの中で起きています。BleepingComputerの報道によれば、Clopランサムウェアグループが別のEBS脆弱性(CVE-2025-61882)をゼロデイとして悪用した事例がすでに確認されており、その後にShinyHunterがOracle PeopleSoftのCVE-2026-35273をデータ窃取攻撃に使ったことも明らかになっています。CISAは過去数年間にOracle製品の44件の脆弱性を「野生での悪用が確認された」としてリストアップしており、そのうち13件はランサムウェア攻撃でも悪用されています。Oracle EBSが財務・決済の中核を担うシステムである以上、侵害が発生した場合のランサムウェアグループの関心は特に高いとみるべきです。

対応の優先順位

Help Net Securityが伝えるDefusedの見解では「5月28日以降にインターネット公開されていたEBSインスタンスは侵害済みとして扱うべきで、ログを精査し、資格情報やホスト上のキーをすべてローテーションする必要がある」とされています。

情報システム部門として即時に確認すべき点と対応の優先順位を整理します。

まず最優先で取り組むべきは、Oracle May 2026 CSPUパッチの適用です。EBSバージョン12.2.3〜12.2.15を運用している組織は本稿執筆時点でパッチを適用していない場合、緊急対応として扱う必要があります。June 2026 CSPU(6月16日発行)も合わせて確認し、両方を適用することが求められます。

次に、パッチ適用完了まで期間を要する場合の暫定措置として、EBSのウェブインターフェースをインターネットから切り離し、社内ネットワークや信頼できるIPアドレス範囲に制限することです。Help Net Securityも「EBSのインターネット公開コンポーネントが本当に必要かどうかを見直すべき」と指摘しています。そもそもERPシステムをインターネットに直接公開する必然性がないのであれば、VPNや踏み台サーバー越しのアクセスに変更することが根本的な対策となります。

ログ調査についても、ウェブサーバーログやプロキシログを対象に/OA_HTML/ibytransmitへの不審なPOSTリクエスト、User-Agentにibytransmit-lab-poc/1.0を含む通信、攻撃元IPアドレス45.84.137.125からのアクセス履歴を確認することをお勧めします。ただし攻撃者が同じUser-Agentを使い続けるとは限らないため、エンドポイントへの異常なXMLリクエストのパターンでも確認することが重要です。

エンジニアとしての経験上、EBSのようなオンプレミスのERPシステムがいつの間にかインターネットから到達可能な状態になっているケースは、クラウド移行の過程やDR環境の設定ミス、あるいはリモートアクセスを急いで設定した結果として起きやすい状況です。

定期的なインターネット公開ポートのスキャンやファイアウォールルールの棚卸しを組み込んでいない環境では、今回のような事態への気づきが遅れるリスクがあります。

Oracle May 2026 CSPUの全体解説もあわせてご確認ください。

出典

当サイト関連記事: