米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Oracle E-Business Suite(EBS)財務アプリケーションに存在する重大な脆弱性を悪用した攻撃が進行中であることを受け、土曜日までにシステムを保護するよう連邦政府機関に命じました。
この脆弱性はEBSのOracle Paymentsプロダクトが持つFile Transmissionコンポーネントで発見され、CVE-2026-46817として追跡されています。認証を受けていない脅威アクターがHTTPネットワークアクセスを介して、複雑度の低い攻撃で脆弱なシステムを乗っ取ることが可能です。
Oracleは2026年5月のCritical Security Patch Updateでこのセキュリティ問題に対処する更新プログラムをリリースし、顧客に対して直ちにシステムへパッチを適用するよう呼びかけていました。
「一部の事例では、対象となった顧客がOracleから提供済みのパッチを適用していなかったために、攻撃者の侵入を許してしまったことが報告されています」と同社は当時警告していました。「そのためOracleは、顧客に対しサポートが継続されているバージョンを維持し、遅滞なくセキュリティパッチを適用することを強く推奨します」
OracleはCVE-2026-46817について実際に悪用されているとはまだ表明していませんが、脅威インテリジェンス企業のDefusedは6月29日、悪意ある攻撃者による実際の悪用が既に始まっていると発表しました。
「CVE-2026-46817(CVSSスコア9.8、認証不要のHTTP経由での乗っ取り、Oracle E-Business対象)が悪用されています。週末にかけて、当社のOracle E-Businessハニーポットに対してこの脆弱性を悪用する攻撃者の活動を確認しました。この脆弱性についてはこれまで悪用の報告がなく、公開されているPOCコードも存在しません」とDefusedは指摘しています。
インターネットセキュリティ監視団体のShadowserverは現在、インターネットに公開されているOracle EBSインスタンスを1,000件以上追跡しています。そのうち半数以上が米国内にあります。ただし、そのうちどれだけがハニーポットなのか、あるいは既に進行中のCVE-2026-46817攻撃に対して保護済みなのかについての情報はありません。

水曜日、CISAもハッカーがこの脆弱性を実際に悪用していることを確認し、既知の悪用済み脆弱性リストに追加するとともに、Binding Operational Directive(BOD)26-04に基づき、米国政府機関に対して脆弱なOracle EBSインスタンスを7月18日(土曜日)までにパッチ適用するよう命じました。
「Oracle E-Business Suiteには不適切な権限管理の脆弱性が存在し、認証を受けていない攻撃者がHTTP経由のネットワークアクセスによってOracle Paymentsを侵害できる状態にあります。この脆弱性への攻撃が成功すると、Oracle Paymentsの乗っ取りにつながる可能性があります」とCISAは述べています。
「この種の脆弱性は悪意あるサイバー攻撃者にとって頻繁に利用される攻撃経路であり、連邦政府機関全体に重大なリスクをもたらします」
10月にも、同庁はOracle E-Business Suiteにおける認証不要のサーバーサイドリクエストフォージェリ(SSRF)脆弱性(CVE-2025-61884)について、実際に悪用されていると認定した上で、政府機関に対しパッチ適用を命じています。
さらに最近では6月にも、2年前にパッチが提供されながら現在実際の攻撃で悪用されているOracle WebLogic Serverの深刻度の高い脆弱性(CVE-2024-21182)について、システムの保護を命じています。
ここ数年で、CISAはOracleの各種製品にまたがる43件のセキュリティ問題が実際に悪用されていると認定しており、そのうち12件はランサムウェアギャングによっても悪用されています。
攻撃者に先んじて、すべてのレイヤーをテスト
セキュリティチームが検知に成功している攻撃はわずか54%、アラートが発せられるのはたった14%に過ぎません。残りは環境内を検知されないまま通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。