Oracleは2026年5月28日、2026年5月のCritical Security Patch Update、CSPUを公開しました。
今回のCSPUでは、Oracle Database Server、Oracle REST Data Services、Oracle Communications Unified Assurance、Oracle E-Business Suite、Oracle Hospitality OPERA 5 Property Servicesの5製品ファミリーを対象に、35件の新規セキュリティパッチが提供されています。
特に注意が必要なのは、Oracle REST Data ServicesのBackend-as-a-Serviceコンポーネントに存在するCVE-2026-46840です。CVSS v3.1の基本値は10.0で、認証なしでネットワーク経由から悪用可能とされています。
また、Oracle E-Business SuiteのOracle Payments、Oracle Hospitality OPERA 5 Property Services、Oracle Database ServerのNet Service、Oracle Communications Unified AssuranceのApache Kafka関連コンポーネントなどにも、高深刻度の脆弱性が含まれています。
この記事のサマリー
- Oracleは2026年5月28日、2026年5月のCritical Security Patch Updateを公開しました。
- 今回のCSPUは、Oracleが月次CSPUを開始してから最初のリリースです。
- 5つのOracle製品ファミリーに対し、35件の新規セキュリティパッチが提供されています。
- Oracle REST Data ServicesのCVE-2026-46840はCVSS 10.0で、未認証のリモート攻撃が可能とされています。
- Oracle E-Business Suiteでは12件のパッチが提供され、Oracle PaymentsのCVE-2026-46817はCVSS 9.8です。
- Oracle Database Serverでは3件すべてが未認証でリモート悪用可能とされ、23.x Oracle Homeへの適用が必要です。
- Oracle Hospitality OPERA 5 Property Servicesでは、CVE-2026-34311がCVSS 9.8で修正されています。
- 情報システム部門は、EBS、ORDS、Database 23.x、OPERA 5、Unified Assuranceの利用有無と外部公開状況を優先確認する必要があります。
目次
何が起きたか
Oracleは2026年5月のCSPUとして、5製品ファミリーに対する35件の新規セキュリティパッチを公開しました。
対象製品は以下です。
| 製品ファミリー | 対象バージョン | 新規パッチ数 | 未認証でリモート悪用可能な脆弱性 |
|---|---|---|---|
| Oracle Database Server | 23.4.0〜23.26.2 | 3 | 3 |
| Oracle REST Data Services | 24.2.0〜26.1.0 | 11 | 7 |
| Oracle Communications Unified Assurance | 6.1.1〜7.0.0 | 8 | 4 |
| Oracle E-Business Suite | 12.2.3〜12.2.15 | 12 | 3 |
| Oracle Hospitality OPERA 5 Property Services | 5.6.19.24、5.6.22、5.6.25.19、5.6.27.6、5.6.28 | 1 | 1 |
Tenableの分析では、今回の35件のうち11件がCritical、18件がHigh、6件がMediumに分類されています。もっともパッチ数が多い製品ファミリーはOracle E-Business Suiteで、12件が提供されています。
修正された主な重大脆弱性
| CVE | 製品 | コンポーネント | CVSS | 未認証リモート悪用 | 概要 |
|---|---|---|---|---|---|
| CVE-2026-46840 | Oracle REST Data Services | Backend-as-a-Service | 10.0 | 可能 | 機密性・完全性・可用性に高い影響 |
| CVE-2026-46817 | Oracle E-Business Suite | Oracle Payments / File Transmission | 9.8 | 可能 | 決済関連コンポーネントに影響 |
| CVE-2026-34311 | Oracle Hospitality OPERA 5 Property Services | Opera | 9.8 | 可能 | OPERA 5 Property Servicesに影響 |
| CVE-2026-46833 | Oracle Database Server | Net Service | 9.0 | 可能 | TLS経由で悪用可能、23.x Oracle Homeが対象 |
| CVE-2026-33557 | Oracle Communications Unified Assurance | Apache Kafka | 9.1 | 可能 | Message Busに影響 |
| CVE-2026-46775 | Oracle REST Data Services | Core | 9.9 | 不可 | 低権限ユーザーで悪用可能 |
| CVE-2026-46839 | Oracle REST Data Services | Core | 9.9 | 不可 | 低権限ユーザーで悪用可能 |
| CVE-2026-46822 | Oracle E-Business Suite | Oracle iAssets | 9.9 | 不可 | 低権限ユーザーで悪用可能 |
| CVE-2026-46824 | Oracle E-Business Suite | Oracle Universal Work Queue | 9.9 | 不可 | 低権限ユーザーで悪用可能 |
特に注意すべき脆弱性
CVE-2026-46840:Oracle REST Data ServicesのCVSS 10.0脆弱性
今回のCSPUで最も深刻なのは、Oracle REST Data Services、ORDSのCVE-2026-46840です。
対象はOracle REST Data Services 24.2.0〜26.1.0です。コンポーネントはBackend-as-a-Serviceで、HTTPS経由で認証なしに悪用可能とされています。CVSS v3.1の基本値は10.0です。
ORDSは、Oracle DatabaseへREST APIでアクセスするために使われることがあります。APEX、社内API、業務システム連携、外部公開API、モバイルアプリ連携などに利用される場合があるため、インターネットや社外ネットワークから到達可能なORDS環境は優先的に確認してください。
ORDSが侵害された場合、単なるWebアプリケーションの問題ではなく、背後のOracle Databaseや業務データへ影響が及ぶ可能性があります。ORDSを利用している企業は、バージョン確認、外部公開状況、認証設定、アクセスログを確認する必要があります。
CVE-2026-46817:Oracle E-Business SuiteのOracle Paymentsに影響
CVE-2026-46817は、Oracle E-Business SuiteのOracle Paymentsに存在する脆弱性です。
対象バージョンはOracle E-Business Suite 12.2.3〜12.2.15です。コンポーネントはFile Transmissionで、HTTP経由で認証なしに悪用可能とされ、CVSS v3.1の基本値は9.8です。
E-Business Suiteは、財務、購買、在庫、人事、給与、決済など、基幹業務に関わるシステムとして利用されることがあります。Oracle Paymentsに影響する脆弱性は、決済・支払・送金関連の業務データや内部処理に関係する可能性があるため、EBSを利用している企業では優先度を高く見てください。
Oracleは、E-Business Suite製品がOracle DatabaseやOracle Fusion Middlewareのコンポーネントにも依存するため、EBS環境ではEBS本体だけでなく、関連するDatabaseとFusion Middlewareの更新も確認するよう案内しています。
CVE-2026-46833:Oracle Database Server 23.xのNet Serviceに影響
Oracle Database Serverでは3件の脆弱性が修正されました。いずれも未認証でリモート悪用可能とされています。
中でもCVE-2026-46833は、Net Serviceに存在するCVSS 9.0の脆弱性です。影響バージョンはOracle Database Server 23.4.0〜23.26.2で、TLS経由で悪用可能とされています。
Oracleは、これら3件のDatabase Server脆弱性について、Database、Grid、Clientを含むすべての23.x Oracle Homeへパッチを適用する必要があると説明しています。また、データベース自体が23.xより前のバージョンであっても、23.x Gridの下で稼働している場合、Grid側へパッチを適用するまで影響を受けるとされています。
この点は見落としやすいため、DBサーバだけでなく、Grid Infrastructure、クライアント専用インストール、管理サーバ、バッチサーバ、アプリケーションサーバ上のOracle Clientも確認してください。
CVE-2026-34311:OPERA 5 Property Servicesに影響
CVE-2026-34311は、Oracle Hospitality OPERA 5 Property Servicesに存在する脆弱性です。
対象バージョンは、5.6.19.24、5.6.22、5.6.25.19、5.6.27.6、5.6.28です。HTTP経由で認証なしに悪用可能とされ、CVSS v3.1の基本値は9.8です。
OPERAはホテルや宿泊施設の管理システムとして使われることがあります。宿泊予約、顧客情報、施設運営、会計、チェックイン・チェックアウトなどに関係するため、脆弱性が悪用された場合、業務停止や顧客情報への影響が懸念されます。
宿泊施設やホテル運営会社は、OPERA 5 Property Servicesのバージョン、外部公開状況、ベンダー保守状況、ネットワーク分離を確認してください。
CVE-2026-33557:Oracle Communications Unified Assuranceに影響
CVE-2026-33557は、Oracle Communications Unified AssuranceのMessage Bus、Apache Kafkaに関係する脆弱性です。
対象バージョンは6.1.1〜7.0.0で、TCP経由で認証なしに悪用可能とされ、CVSS v3.1の基本値は9.1です。
Oracle Communications Unified Assuranceは、通信・ネットワーク運用監視に関係する製品です。通信事業者や大規模ネットワーク運用環境で使われる可能性があり、Message Busの脆弱性は監視基盤や運用データの処理に影響する恐れがあります。
影響範囲
今回のCSPUで対象となる製品は、一般的なエンドユーザーPC向けソフトウェアではなく、企業の基幹システムや業務基盤に使われるOracle製品です。
確認対象は以下です。
| 確認対象 | 見落としやすいポイント |
|---|---|
| Oracle REST Data Services | APEX、API基盤、社内外公開REST APIで使われる場合があります |
| Oracle Database Server 23.x | DatabaseだけでなくGrid、Client、管理サーバのOracle Homeも確認が必要です |
| Oracle E-Business Suite | EBS本体に加え、DatabaseとFusion Middlewareコンポーネントも確認が必要です |
| Oracle Communications Unified Assurance | 通信・ネットワーク監視基盤に含まれる場合があります |
| Oracle Hospitality OPERA 5 | ホテル・宿泊施設の現場システムとして運用部門が管理している場合があります |
| 外部委託環境 | SIer、保守ベンダー、運用委託先がパッチ適用を担当している場合があります |
| DR・検証環境 | 本番より古いOracle環境が残っている可能性があります |
Oracleは、Premier SupportまたはExtended Supportの対象バージョンにのみCSPUを提供します。サポート対象外バージョンでは、今回修正された脆弱性の有無が検査されていない場合があります。そのため、古いOracle製品を継続利用している場合は、サポート対象バージョンへの移行も必要です。
すぐに実施すべき対応
Step 1:対象Oracle製品の利用有無を確認する
まず、自社で今回の対象製品を利用しているか確認してください。
対象は、Oracle Database Server、ORDS、EBS、Communications Unified Assurance、OPERA 5 Property Servicesです。情報システム部門の台帳だけではなく、業務部門、経理部門、人事部門、ホテル・施設運営部門、通信・ネットワーク運用部門、外部保守ベンダーにも確認してください。
| 製品 | 主な確認部門 |
|---|---|
| Oracle Database Server | 情シス、DBA、アプリ運用、基盤チーム |
| Oracle REST Data Services | 開発、API基盤、APEX管理、Web運用 |
| Oracle E-Business Suite | 経理、人事、購買、ERP運用 |
| Oracle Communications Unified Assurance | ネットワーク運用、通信基盤、監視チーム |
| Oracle Hospitality OPERA 5 | ホテル運営、施設システム、現地IT |
Step 2:外部公開されているOracle製品を優先する
今回のCSPUでは、未認証でリモート悪用可能な脆弱性が複数含まれています。
優先的に確認すべきなのは、インターネット、取引先ネットワーク、VPN経由、拠点間ネットワークから到達可能なOracle製品です。
| 確認項目 | 内容 |
|---|---|
| インターネット公開 | ORDS、EBS、OPERA、管理画面が外部公開されていないか |
| VPN経由アクセス | VPN接続後にEBSやDatabaseへ広く到達できないか |
| API公開 | ORDSのREST APIが外部サービスから利用されていないか |
| ホテル拠点 | OPERA 5が現地ネットワークから外部接続されていないか |
| 通信基盤 | Unified Assuranceの管理系ポートが広く開いていないか |
| クラウド環境 | セキュリティグループやロードバランサで公開されていないか |
Step 3:Oracle REST Data Servicesを優先更新する
ORDSを利用している場合、CVE-2026-46840のCVSS 10.0を優先して確認してください。
特に、以下の環境は早急な対応が必要です。
| 環境 | 理由 |
|---|---|
| インターネット公開ORDS | 未認証リモート悪用可能な脆弱性の影響が大きい |
| APEX連携環境 | ORDSがAPEXの入口になっている可能性があります |
| 社外API連携 | 取引先や外部システムから到達可能な場合があります |
| 認証前API | 認証前の処理が攻撃対象になる可能性があります |
| 古いORDS | 24.2.0〜26.1.0が対象のためバージョン確認が必要です |
Step 4:Oracle Database 23.x Oracle Homeを確認する
Database Serverの3件は、すべて未認証でリモート悪用可能とされています。
Oracleは、Database、Grid、Clientを含むすべての23.x Oracle Homeへパッチを適用する必要があると説明しています。
確認対象は以下です。
| 対象 | 確認内容 |
|---|---|
| Database Home | 23.4.0〜23.26.2に該当するか |
| Grid Infrastructure | 23.x Gridを使っていないか |
| Client Home | アプリケーションサーバや管理端末のOracle Client |
| RAC環境 | 全ノードに同じパッチが適用されているか |
| 監視・バックアップサーバ | Oracle Clientが古いまま残っていないか |
| 古いDB + 23.x Grid | DB本体が古くても23.x Grid配下なら注意が必要です |
Step 5:E-Business SuiteはEBS本体だけでなく周辺も確認する
EBSでは12件のパッチが提供されています。うち3件は未認証でリモート悪用可能です。
EBS環境では、Oracle E-Business Suite本体に加えて、Oracle DatabaseとOracle Fusion Middlewareコンポーネントも影響する可能性があります。
| 確認対象 | 内容 |
|---|---|
| EBS 12.2.3〜12.2.15 | 対象バージョンか |
| Oracle Payments | CVE-2026-46817の影響確認 |
| Internet Procurement Connector | CVE-2026-46819の影響確認 |
| Oracle Payroll | 複数の高深刻度脆弱性を確認 |
| Database | EBSのDB基盤に今回のDatabaseパッチが必要か |
| Fusion Middleware | EBSに含まれるミドルウェア側の更新確認 |
EBSは業務停止の影響が大きいため、検証環境での適用確認、バックアップ、ロールバック手順、業務部門との停止調整が必要です。
Step 6:サポート対象外バージョンを棚卸しする
Oracleは、CSPUのパッチ提供対象をPremier SupportまたはExtended Supportの対象バージョンとしています。
サポート対象外のOracle製品は、今回の脆弱性に影響するか検査されていない可能性があります。特に、古いEBS、古いDatabase、古いOPERA、旧ORDS、保守切れの業務システムは棚卸しが必要です。
| 確認項目 | 内容 |
|---|---|
| サポート契約 | Premier SupportまたはExtended Support対象か |
| 製品バージョン | 今回のCSPU対象か |
| パッチ入手可否 | My Oracle Supportから取得できるか |
| ベンダー保守 | SIerや運用委託先の適用計画 |
| 移行計画 | サポート対象バージョンへの移行時期 |
| 例外管理 | すぐ移行できない環境のネットワーク分離 |
監視で確認すべきポイント
今回のCSPUで修正された脆弱性について、Oracleのアドバイザリは個別の実悪用状況を詳細には公表していません。一方で、Oracleは、過去に修正済みの脆弱性を攻撃者が悪用し、パッチ未適用の顧客環境で攻撃が成功した事例があるとして、速やかな適用を強く推奨しています。
パッチ適用とあわせて、以下を確認してください。
| 製品 | 確認すべきログ・兆候 |
|---|---|
| ORDS | 不審なHTTP/HTTPSリクエスト、認証前APIへの大量アクセス、500エラー増加 |
| EBS | Oracle Payments、Payroll、iAssets、Procurement関連の不審操作 |
| Database | Listener、Net Service、TLS接続、異常な接続元 |
| OPERA 5 | 外部からのHTTPアクセス、不審な管理操作、宿泊施設拠点からの異常通信 |
| Unified Assurance | Kafka、ActiveMQ、Tomcat、ZooKeeper関連の異常ログ |
| WAF・プロキシ | Oracle製品のURLに対するスキャン、攻撃文字列、連続試行 |
| SIEM | パッチ公開後のOracle関連スキャン増加 |
Oracle製品のパッチ管理で注意すべき点
Oracle製品のパッチ適用では、単にパッチをダウンロードして適用するだけでは不十分です。
製品ごとに停止時間、依存関係、DBパッチ、ミドルウェアパッチ、アプリケーションパッチ、クライアント側更新が異なります。特にEBSやDatabaseでは、業務影響が大きいため、事前検証とロールバック手順が重要です。
| 項目 | 確認内容 |
|---|---|
| 影響調査 | 対象製品・バージョン・コンポーネントを洗い出す |
| 優先順位 | 未認証リモート悪用可能、CVSS 9以上、外部公開を優先 |
| 検証環境 | 本番と同等構成でパッチ適用テスト |
| バックアップ | DB、アプリケーション、設定、Oracle Homeのバックアップ |
| 停止調整 | 業務部門、外部ベンダー、利用者への周知 |
| ロールバック | パッチ適用失敗時の戻し手順 |
| 適用確認 | バージョン、パッチID、ログ、動作確認 |
| 監視強化 | パッチ適用前後の不審アクセスを確認 |
今後確認すべきこと
Oracleは今後も月次CSPUを提供します。2026年の次回以降のセキュリティリリースは、2026年6月16日がCSPU、2026年7月21日が四半期CPU、2026年8月18日がCSPU、2026年9月15日がCSPUとされています。
Oracle製品を利用する企業は、四半期CPUに加え、月次CSPUもパッチ管理カレンダーへ組み込む必要があります。
今後確認すべき項目は以下です。
| 確認点 | 理由 |
|---|---|
| 月次CSPUの運用化 | 四半期CPUだけでは重要修正を待つことになる |
| Oracle製品の棚卸し | EBS、ORDS、OPERA、Database、Clientが分散しているため |
| 外部公開状況 | 未認証リモート悪用可能な脆弱性の影響が大きいため |
| サポート対象バージョン | サポート外ではCSPUが提供されない可能性があるため |
| My Oracle Support確認 | 製品ごとのパッチ適用手順がMOS文書に分かれているため |
| 委託先との責任分界 | Oracle製品は外部ベンダーが運用していることが多いため |








