Oracle E-Business Suite の CVE-2026-46817(未認証の乗っ取り)を理解し、自組織の露出を外形から確かめる
2026年7月15日、CISAのKEV(Known Exploited Vulnerabilities)カタログに Oracle E-Business Suite(EBS)の CVE-2026-46817 が追加された。Oracle Payments の File Transmission コンポーネントの欠陥で、HTTP経由でネットワークアクセスできる未認証攻撃者が低難度で悪用でき、CVSSは9.8。すでに実際の悪用が観測され、インターネットに公開されたインスタンスが900台超あるとの報告もある。
何が起きるのか
- 影響バージョンは EBS 12.2.3〜12.2.15。
- 認証不要でOracle Paymentsを掌握され、機密の財務データ窃取やシステム乗っ取りにつながる。
- Oracleは 2026年5月のCritical Patch Update(CPU) で修正済み。パッチ後も攻撃が続いており、KEV追加で是正の緊急度が上がっている。
各クラウド(AWS/GCP/Azure/Linux)ごとの対応状況の早見は CVE早見表サイト の該当エントリに整理している。EBSは顧客管理アプリのため、対応はOSパッケージ更新ではなく OracleのCPUパッチ適用 が基本だ。
まず「そもそも外から触れるか」を確かめる
対策の第一歩は、EBSの画面(特に決済・管理系)がインターネットから直接到達可能になっていないかの確認だ。これは攻撃ではなく、自組織の資産に対する 外形からの到達性チェック として安全に行える。自分が管理する対象にのみ実施すること。
1 | |
想定外に 200 や 302 が返り、外部から画面に到達できてしまう場合は、ファイアウォール/セキュリティグループ/WAFで到達元をVPN・社内セグメントに限定する。クラウド上でEBSを動かしているなら、AWSのSecurity Group、AzureのNSG、GCPのファイアウォールで公開範囲を最小化し、リバースプロキシやWAFの背後に置く。
パッチと痕跡調査
到達性の制限は時間稼ぎであって、根本対応は 2026年5月CPUの適用 だ。適用状況を確認し、未適用なら計画的に当てる。すでに露出していた期間があるなら、Oracle PaymentsのFile Transmission関連への不審なHTTPリクエストや、見覚えのないファイル送信・ジョブがないかをアプリ/Webサーバのログから点検する。
1 | |
抽出結果はあくまで当たりを付けるためのもので、正規の運用アクセスと切り分けて評価する。EBSのような基幹アプリは公開面を持ちがちなので、「未認証で外から触れる画面がないか」を定期的に棚卸しする運用に落とし込むのが、この手のCVEに強くなる近道だ。