脅威インテリジェンス企業のDefusedによると、攻撃者がOracle E-Business Suite(EBS)の財務アプリケーションに存在する重大な脆弱性(CVE-2026-46817)の悪用を開始しました。
この脆弱性は、EBSのOracle PaymentsにおけるFile Transmissionコンポーネントに存在します。認証なしでHTTPネットワークにアクセスできる攻撃者が、低複雑度の攻撃によって脆弱なシステムを乗っ取ることができます。
Oracleは2026年5月のCritical Security Patch Updateでこの脆弱性に対処するセキュリティアップデートを公開し、顧客に対して直ちにパッチを適用するよう強く求めていました。
「Oracleは、すでにセキュリティパッチを公開している脆弱性を悪意を持って悪用しようとする試みについて、定期的に報告を受け続けています」と、当時同社は警告していました。
「攻撃者が成功を収めた事例の一部は、標的となった顧客がOracleの利用可能なパッチを適用していなかったことが原因と報告されています。Oracleはそのため、顧客に対してアクティブにサポートされているバージョンを使用し続け、セキュリティパッチを遅延なく適用することを強く推奨します。」
OracleはCVE-2026-46817が実際に悪用されているとはまだ認定していませんが、Defusedは月曜日に、攻撃者がこの脆弱性を現在活発に悪用しており、週末に最初の試みが観測されたと発表しました。
「CVE-2026-46817(Oracle E-BusinessにおけるCVSSスコア9.8の未認証HTTPジャックオーバー)が悪用されています。週末、当社のOracle E-Businessハニーポットにおいて、攻撃者がこの脆弱性を悪用するのを観測しました。この脆弱性はこれまで悪用実績がなく、公開されたPoCコードも存在しません」と警告しています。
インターネットセキュリティの監視団体であるShadowserverは現在、オンラインに公開されているOracle EBSインスタンスを450件以上追跡しており、そのうち約200件が米国およびヨーロッパに存在しています。
ただし、これらのうち現在進行中の攻撃に対してすでにセキュリティ対策を施したインスタンスが何件あるかについては、情報がありません。
Clop恐喝グループは、別のOracle EBSのセキュリティ欠陥(CVE-2025-61882)をゼロデイ攻撃に利用し、複数の米国大学(ハーバード大学、ペンシルベニア大学、ダートマス大学、フェニックス大学)、ワシントン・ポスト、Logitech、GlobalLogicを2025年8月初旬から標的にしていました。
今月初めには、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が、2年前にパッチが公開された高深刻度のOracle WebLogic Serverの脆弱性(CVE-2024-21182)が攻撃に積極的に悪用されていると警告を発しました。
その数週間後、Oracleは重大なPeopleSoft Suiteのゼロデイ脆弱性(CVE-2026-35273)に対して緩和措置を実施しました。この脆弱性はShinyHuntersによるデータ窃取攻撃に積極的に悪用されており、未認証のリモートコード実行を可能にするものです。
CISAはここ数年で、さまざまなOracle製品における44件の脆弱性を実際に悪用されているものとして指定しており、そのうち13件はランサムウェア攻撃にも利用されています。
攻撃者より先にすべての防御層をテストする
セキュリティチームが記録できている攻撃の成功は全体の54%に過ぎず、アラートが発生するのはわずか14%です。残りは検知されることなく環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。
