新設の月次セキュリティパッチ(CSPU)、四半期更新を待てない緊急脆弱性に対応
Oracleは、新たに設けた月次の重要セキュリティパッチ更新(CSPU)サイクルにおける初のセキュリティ修正をリリースしました。このサイクルは、四半期ごとのパッチリリースを待てない緊急性の高い脆弱性に対処するために導入されたものです。今回の最初のバッチでは35件の脆弱性が修正されており、そのうち複数についてはエクスプロイトコードがすでに公開されています。
今回の修正内容の内訳は、「緊急(Critical)」が11件、「高(High)」が18件、「中(Medium)」が6件となっています。特に深刻度が高い脆弱性としては、Oracle REST Data Services(CVE-2026-46840、CVE-2026-46775、CVE-2026-46839)、Oracle E-Business Suite(CVE-2026-46822)、Oracle Universal Work Queueポータル(CVE-2026-46824)、Oracle Payments(CVE-2026-46817)に影響を与える緊急評価の脆弱性10件が挙げられます。
ただし、CVSSスコアが高いこれらの脆弱性よりも先に対応が求められるのは、概念実証(PoC)エクスプロイトコードが公開されていると報告されている古い脆弱性群かもしれません。具体的には、Oracle Communications Unified Assuranceネットワーク管理に影響するCVE-2025-15467、CVE-2025-58050、CVE-2026-25646、そしてOracle REST Data Servicesに影響するCVE-2026-2332です。
いずれもOracleの製品に組み込まれたオープンソースコンポーネントに起因しており、そのうちCVE-2025-58050は昨年8月に初めて公開されました。このことは、現代的なプラットフォームにおけるサプライチェーンの脆弱性の修正がいかに時間を要するかを改めて示しています。
もう一つの優先対応候補は、CVSSスコアが満点の「10」を記録したCVE-2026-46840です。これはREST Data ServicesのバージョンRC24.2.0からRC26.1.0に影響するバックエンド・アズ・ア・サービス(BaaS)コンポーネントの脆弱性です。
REST Data Servicesは企業データベースをAPI経由で公開するゲートウェイです。この脆弱性を悪用すれば、認証されていない攻撃者がHTTPS経由でゲートウェイを容易に乗っ取ることができるため、攻撃者にとって格好のターゲットとなり得ます。
優先対応リストに加えるべき脆弱性として、REST Data Servicesのコアコンポーネントに影響するCVE-2026-46775とCVE-2026-46839も挙げられます。CVSSスコアは9.9と評価されており、これらが満点の10とならないのは、悪用にネットワーク認証情報が必要という点だけです。
Oracleの「第3火曜日」パッチ
今月初旬に発表された月次CSPUは、引き続き四半期ごとにリリースされる大規模な重要パッチ更新(CPU)に先立ち、高深刻度の脆弱性を小規模かつ集中的に修正することを目的としています。初回のCSPUは先週木曜日にリリースされました。
Oracleは更新に関するノートの中で、CSPUは「より小規模で焦点を絞った形式で、的を絞った優先度の高いセキュリティ修正を提供するものであり、最小限の影響で適用しやすい設計となっている」と説明しています。
OpenAIのTrusted Access for CyberプログラムやClaude MythosといったAIを活用した脆弱性自動発見システムが注目を集めており、Oracleはこれらへのアクセス権を持つと表明していますが、今回の5月のCSPUで発見された脆弱性のうち、これらシステムの成果として帰属されたものはありませんでした。
月次更新サイクルへの移行により、OracleはMicrosoftやAdobeといったソフトウェアベンダーと足並みをそろえることになります。これは、深刻度の高い脆弱性の報告件数が増加していることへの対応策とみられています。
今後、CSPUは毎月第3火曜日にリリースされる予定で、最初の4回は6月16日、7月21日、8月18日、9月15日が予定されています。なお、Oracleのクラウド利用者には自動的にパッチが適用されます。
