サイバー犯罪
攻撃者は大手Oracleのパッチをリバースエンジニアリングした可能性
Oracleが「E-Business Suite」の「Payments」モジュールに存在する深刻な欠陥を修正してからわずか6週間後、しかも公開の概念実証(PoC)エクスプロイトが登場する前の段階で、攻撃者がこの脆弱性を悪用しているところが確認されました。
Defusedの研究者らは、CVE-2026-46817に対する既知の初の悪用を6月27日に観測したと明らかにしました。攻撃者は、E-Business Suiteのリリース12.2.3から12.2.15までに含まれる「Oracle Payments File Transmission」コンポーネントを標的にしていたとのことです。この脆弱性はOracleの5月の月例セキュリティパッチ(Critical Patch Update)で修正済みで、CVSSスコアは9.8。認証を経ていない攻撃者が脆弱なサーバーから任意のファイルを読み取ることを可能にするというものです。
Defusedによると、今回の活動は脆弱性の公表後によく見られる無差別なインターネットスキャンとは様相が異なっていたといいます。同社のハニーポットが記録したのは、単一の発信元から送られた、動作するとみられるエクスプロイトを使った6件の悪用試行のみでした。攻撃者はターゲットシステムから機密ファイルを取得しようとしており、広く網を張るのではなく、手法の検証や有効性確認を行っていたことがうかがえます。
研究者らによると、公開エクスプロイトコードが出回るより前に悪用が始まっていたことから、攻撃者はOracleのパッチをリバースエンジニアリングしたか、あるいは非公開のエクスプロイトを入手していたとみられます。
Shadowserver Foundationは、現在インターネット上に公開されているEBSインスタンスが約950件確認されていると明らかにしました。その大半は米国に存在するとしていますが、この数字はそれらが脆弱な状態にあるか、あるいは完全にパッチ適用済みかどうかを示すものではないと強調しています。
今回確認された悪用は、近年ますます見られるようになったパターンに合致しています。
今月初め、研究者らは深刻なPeopleSoftのゼロデイ脆弱性がパッチの広範な展開前に悪用されていたと警告しており、ShinyHuntersのグループは100を超える組織を侵害したと主張しています。同グループはさらに、人事・給与データを窃取したとも豪語しています。
今回の一件はまた、Clopが長期間にわたりOracle E-Business Suiteの顧客を標的にしていたキャンペーンにも続くものです。これは、ランサムウェア集団がインターネットに公開されたEBSサーバーを数カ月にわたり狙っていたことを研究者が発見し、昨年公表されたものです。
今回新たに悪用が確認されたEBSの脆弱性は、Oracle製ERPソフトウェアを標的とした最後の事例にはならないとみられます。企業向けソフトウェアはサイバー犯罪者にとって実入りの良い狩り場となっており、重要な更新プログラムは、修正内容をリバースエンジニアリングして顧客より先に展開する準備がある者にとって、いわば攻撃のロードマップにもなり得るのです。®