スキャン能力の強化を受けて、インターネットに公開されたOracle E-Business Suite(EBS)インスタンスが約950台特定されました。同時に、CVE-2026-46817に関連する実際の攻撃試行もすでに観測されています。
この調査結果は、Validinとの協業によりドメインベースのスキャン機能を最近拡張したThe Shadowserver Foundationによって公表されました。
この機能強化により、大規模組織で広く利用される重要な企業資源計画(ERP)プラットフォームであるOracle EBS展開のうち、外部からアクセス可能なものについて、より広範な可視性が得られるようになりました。
950台のOracle E-Business Suiteインスタンスが露出
Shadowserverによると、スキャン時に直接的な脆弱性評価は行われていないため、特定されたシステムが必ずしも脆弱であると確認されたわけではないとのことです。
しかし、CVE-2026-46817に関連する攻撃活動が発生していることを踏まえると、これらのシステムが露出していること自体が攻撃対象領域を大幅に拡大させています。
DefusedCyberのセキュリティ研究者は、この脆弱性を標的とした実際の攻撃試行を観測したと報告しており、脅威アクターが未パッチのシステムを積極的に探索し、悪用を試みている可能性を示しています。
National Vulnerability Database(NVD)に登録されているCVE-2026-46817は、Oracle E-Business Suiteのコンポーネントに影響を及ぼし、Oracleの2026年5月分Critical Patch Update(CPU)で対処されています。
公開情報における技術的な詳細は現時点で限られているものの、企業環境への影響が大きいことから、この脆弱性は深刻であると見なされています。
Oracle EBSシステムは財務、人事、業務に関する機微なデータを扱うことが多く、初期アクセスの獲得やデータ窃取、企業ネットワーク内での横展開を狙う攻撃者にとって価値の高い標的となっています。
Shadowserverが公開した露出データには、公開ダッシュボードを通じて閲覧できるグローバルな分布状況の分析結果が含まれており、同社のスキャン基盤で検出されたOracle EBSインスタンスがマッピングされています。
さらに、影響を受ける組織やネットワーク運用者は、Shadowserverの「Device ID」レポートサービスを利用することもできます。このサービスは、「device_vendor: Oracle」および「device_model: Oracle E-Business Suite」に分類された、露出している可能性のある資産についてIPレベルの可視性を提供します。
この情報により、防御側は自組織のインフラ内で外部から到達可能なシステムを迅速に特定できます。
攻撃者の視点から見ると、Oracle EBSのような公開された企業向けアプリケーションは、自動スキャンや認証情報を狙った攻撃、未パッチの脆弱性の悪用を通じて標的にされることが多くあります。
CVE-2026-46817の悪用試行が観測されているという事実は、攻撃者がすでにこの脆弱性を偵察・攻撃のワークフローに組み込んでいることを示唆しています。多くの場合、日和見的な脅威アクターは、特に標的の公開範囲が広い場合、新たに公表された脆弱性を迅速に武器化します。
Oracleは公式のセキュリティアドバイザリの一環としてこの脆弱性に対処するパッチをリリースしており、各組織は直ちにアップデートを適用することを強く推奨されています。
パッチ適用に加えて、セキュリティチームはEBSインスタンスへの外部アクセスを制限し、強固な認証メカニズムを導入し、悪用の試みを示す不審な活動がないかログを監視する必要があります。ネットワークのセグメント化とWebアプリケーションファイアウォール(WAF)による保護も、リスクをさらに軽減する助けとなります。
広範な露出と、実際に確認されている悪用試行の組み合わせは、各組織が自社のOracle E-Business Suite展開状況を評価することの緊急性を浮き彫りにしています。
数百台のインスタンスが公開状態にあり、攻撃者が積極的にスキャンを行っている状況下では、対応の遅れがデータ侵害や業務の混乱といった重大なセキュリティインシデントにつながりかねません。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/950-oracle-e-business-suite-instances-exposed/