Oracle E-Business Suite、エクスプロイトコード公開前に致命的な脆弱性で攻撃される

攻撃者がOracle E-Business Suiteの重大な脆弱性を、Oracleがパッチを公開してからわずか6週間後、公開された実証コードが出回る前に悪用していたことが判明した。

CVE-2026-46817として追跡され、CVSSスコア9.8(重大)のこの脆弱性は、Oracle E-Business SuiteのOracle Payments File Transmissionコンポーネントに存在する。認証されていない攻撃者が脆弱なサーバーから任意のファイルを読み取ることを可能にする。影響を受けるバージョンはリリース12.2.3から12.2.15まで。

セキュリティ企業Defusedによると、この悪用は無差別なインターネットスキャンとは異なっていた。同社のハニーポットは、1つの送信元からわずか6回の悪用試行を記録したのみで、すべて動作するエクスプロイトを使用していた。リクエストは標的システムから機密ファイルを取得しようとするもので、オペレーターが手法をテストまたは検証していたことを示唆している。

公開エクスプロイトコードが出回る前に悪用が始まったという事実は、攻撃者がOracleのパッチをリバースエンジニアリングしたか、非公開のエクスプロイトを入手したことを示している。これはますます一般的なパターンである。重要なセキュリティ更新プログラムは、修正を分析し、顧客が展開する前にエクスプロイトを構築しようとする攻撃者にとってのロードマップとなり得る。

Oracleは2026年5月のCritical Patch Update(CPU)でこの脆弱性に対処した。Shadowserver Foundationは、約950のOracle E-Business Suiteインスタンスがパブリックインターネットに露出したまま残っており、その大部分は米国にあると推定している。

今回のインシデントは、6月にPeopleSoftのゼロデイが広範なパッチ適用前に悪用され、ShinyHuntersグループが100以上の組織が侵害されたと主張した事例と同様のパターンに従っている。

出典:Oracle E-Business Suite was under attack via critical flaw before public exploit code was even released(The Register、2026年7月2日)

雅子 訳

Scroll to Top