情報漏洩の脆弱性CVE-2025-61884がゼロデイ攻撃の数週間後に発覚、オラクルの主力ERPプラットフォームにおける広範なセキュリティ問題への懸念が高まる。
オラクルは、E-Business Suite(EBS)に対し、2週間足らずで2度目となる緊急セキュリティアップデートを発行しました。セキュリティ専門家が、すでに広く導入されているエンタープライズソフトウェアを狙うランサムウェアグループの次の標的になる可能性があると警告する、高深刻度の情報漏洩脆弱性を修正しています。
同社は10月11日、CVE-2025-61884に関するセキュリティアラートを発表しました。これはOracle ConfiguratorのRuntime UIコンポーネントに存在するリモートから悪用可能な脆弱性で、EBSバージョン12.2.3から12.2.14が影響を受けます。CVSS深刻度スケールで7.5と評価されており、認証されていない攻撃者がネットワークアクセスのみで機密データを窃取できる脆弱性です。
「この脆弱性は認証なしでリモートから悪用可能であり、つまりユーザー名やパスワードを必要とせずネットワーク経由で悪用される可能性があります」とオラクルはアドバイザリで述べています。「悪用に成功した場合、機密リソースへのアクセスが可能になる可能性があります。」
オラクルはCVE-2025-61884が実際に悪用されているかどうかは確認していません。しかし、このタイミングによりセキュリティ専門家は警戒を強めています。このパッチは、オラクルがCVE-2025-61882という重大なリモートコード実行脆弱性に対する緊急修正をリリースしたわずか1週間後に登場しました。この脆弱性は、Cl0pランサムウェアグループが8月から始まった大規模なデータ窃取キャンペーンでゼロデイとして悪用していました。
「過去の標的化や最近のCl0pランサムウェアの活動を考慮すると、脅威アクターが近い将来、関心を示し悪用を試みる可能性が高い」と、サイバーセキュリティ運用会社Arctic WolfはCVE-2025-61884の分析で警告しています。
なぜERPシステムが主要な標的となっているのか
この警告は、セキュリティ専門家が注視するより広範な傾向を反映しています。EBSの重大な脆弱性が短期間に相次いで発見され、2週間で2度の緊急パッチが出されたことは、脅威アクターがエンタープライズを標的とする手法に根本的な変化が起きていることを示しています。
「オラクルEBSでゼロデイが連続して発見されたことは、脅威アクターが財務や業務のワークフローを支える高価値なエンタープライズアプリケーションをますます標的にしていることを浮き彫りにしています」と、IDCアジア太平洋のサイバーセキュリティサービス担当シニアリサーチマネージャー、サクシ・グローバー氏は述べています。「これらのシステムは深く統合され、カスタマイズされており、迅速なパッチ適用が難しいため、悪用されやすい標的となっています。」
Beagle Securityのアドバイザー、スニル・ヴァーキー氏は、ERPシステムに対するセキュリティ業界の歴史的な盲点が現在の危機を招いたと指摘します。「かつてCISOはERPシステムを他人事と捉え、境界で守られている、触るにはリスクが高すぎる、複雑すぎて理解できないと考えていました」とヴァーキー氏は述べています。「ERPシステムはもはや孤立していません。今やクラウドサービス、サプライヤーポータル、eコマースプラットフォーム、IoTセンサーやWeb公開コンポーネントなど、あらゆるものと接続されています。これにより攻撃対象領域が爆発的に拡大しました。」
この脆弱性はCVE-2025-61882と同じバージョン範囲に影響し、インターネットに公開されたEBSインスタンスを運用する組織は特にリスクにさらされています。セキュリティ研究者は、情報漏洩の脆弱性はリモートコード実行脆弱性ほど深刻ではないものの、攻撃者に複数のエクスプロイトを連鎖させるための偵察データを提供し得ると指摘しています。これは高度な脅威アクターが繰り返し実証してきた手法です。
「オラクルは、お客様が本セキュリティアラートで提供されたアップデートまたは緩和策をできるだけ早く適用することを強く推奨します」と、オラクルの最高セキュリティ責任者ロブ・デュハート氏は別のブログ投稿で強調しています。
オラクルは、Premier SupportまたはExtended Supportの対象となるすべてのバージョンに対してCVE-2025-61884のパッチを提供しています。しかし、セキュリティ専門家はパッチ適用だけでは十分でない可能性があると警告しています。最近のCVE-2025-61882攻撃の教訓から、組織は修正を適用した後でも過去の侵害の兆候を積極的に調査する必要があることが示されています。
Google Threat Intelligence GroupとMandiantは、CVE-2025-61882キャンペーンの詳細な技術分析で、EBS環境向けの具体的なハンティング手法を解説しています。研究者らは、脅威アクターが「ペイロードをEBSデータベース内に直接保存している」ことを発見し、「管理者は直ちにXDO_TEMPLATES_BおよびXDO_LOBSテーブルを照会し、不正なテンプレートを特定すべき」と推奨しています。
Googleチームはネットワークレベルでの防御も強調しています。「観測されたJavaペイロードは、C2サーバーへのアウトバウンド接続を必要とし、二次的なインプラントの取得やデータの流出を行います」と研究者は記し、組織に対して「EBSサーバーからインターネットへの不要なアウトバウンドトラフィックをすべて遮断する」ことを推奨しています。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)はすでにCVE-2025-61882を既知の悪用脆弱性カタログに追加し、連邦機関に対して10月27日までの対応を求めています。CVE-2025-61884はまだカタログに追加されていませんが、専門家は標的化の傾向を踏まえ、両方の脆弱性に同等の緊急性を持って対応すべきだと指摘しています。
ERPセキュリティ戦略の再考
迅速なパッチ適用が依然として重要である一方、セキュリティ専門家は、オラクルの脆弱性が相次いだことで、組織がビジネスクリティカルなアプリケーションのセキュリティ確保方法を根本的に見直す必要性が示されたと主張しています。
「即時の対処だけでなく、セキュリティリーダーはサードパーティ依存関係全体の可視性を強化し、ERP環境内で最小権限を徹底し、異常な取引をビジネス障害が発生する前に検知できる行動分析への投資を行うべきです」とグローバー氏は述べています。グローバー氏が引用したIDCアジア太平洋セキュリティ調査2025によれば、すでに26%の企業がビジネスアプリケーションと連携したアイデンティティファーストのセキュリティ戦略を推進しています。
ヴァーキー氏は、ERPシステムをクリティカルアセットとして格上げすべきだと強調します。「ERPシステムは、隔離、ログ記録、監視、最小権限、セグメンテーション、ゼロトラストの徹底など、クリティカルアセットとして扱うべきです」と述べています。「セキュリティチームはコアガバナンスチームの一員となり、セキュリティ要件を定義すべきです。」
