ラボまとめコラムニュース
ブログ/記事一覧/Oracle CSPU 2026年5月、月次化初回でCVSS 10.0含む35件公開
oracle-cspu-may-2026-monthly-launch-cvss-10-cover-ja

Oracle CSPU 2026年5月、月次化初回でCVSS 10.0含む35件公開

Oracleが2026年5月28日、四半期CPUを月次CSPUへ移行。第1回で35件のパッチを公開し、Oracle REST Data Services (ORDS) にCVSS 10.0のRCE (CVE-2026-46840)、E-Business Suiteに12件、Database 3件、Hospitality OPERA 5 1件。背景にはCl0pによるEBSゼロデイ攻撃。

ニュース 本日更新
avatar-m-1

堀川 慎

Backend Engineer / AWS / Django

2026.05.2911 min1 views
Share X B! Hatena LINE in LinkedIn RSS
この記事のポイント

Oracleが2026年5月28日、四半期CPUを月次CSPUへ移行。第1回で35件のパッチを公開し、Oracle REST Data Services (ORDS) にCVSS 10.0のRCE (CVE-2026-46840)、E-Business Suiteに12件、Database 3件、Hospitality OPERA 5 1件。背景にはCl0pによるEBSゼロデイ攻撃。

Oracleが2026年5月28日、四半期ごとに行ってきた Critical Patch Update (CPU) を月次サイクルに切り替え、初回の Critical Security Patch Update (CSPU) として35件のセキュリティパッチを公開しました。うち1件は CVSS 10.0(CVE-2026-46840、Oracle REST Data Services)、CVSS 9 以上の Critical だけで11件、E-Business Suite には12件のパッチが当てられています。

公式アドバイザリ「cspumay2026.html」は同日付で公開。日本のSIerや大手企業の人事・経理・購買・販売管理を支える Oracle E-Business Suite を運用しているチームには、四半期ごとのCPU対応では手が届かなかった「**毎月のパッチ計画**」という新しい運用負荷が、いきなり最高深刻度の事案とともに到来した格好です。

背景には、2025年8月から続いた Cl0p ランサムウェアグループによる Oracle E-Business Suite のゼロデイ大量悪用(CVE-2025-61882)があります。四半期に1度というパッチサイクルでは、CISAが警告を出しても次のCPUまでに数十日〜数か月の空白が生まれてしまう問題が露呈し、Oracleは月次化に踏み切りました。Oracleの公式ブログは月次CSPUを「より小さく、より集中したフォーマット」と説明し、AnthropicのClaudeとOpenAIのモデルを脆弱性検出と対応に活用していることを明示しています。

Oracle CSPU 2026年5月 — 何が出たかの早見表

月次化第1回の内訳を、製品ラインごとに整理します。E-Business Suite 系が圧倒的多数で、ORDS(Oracle REST Data Services)に最高深刻度の CVSS 10.0 が割り当てられているのが今回の特徴です。

製品ライン件数最高
CVSS		認証不要
リモート悪用		国内での主な利用層
Oracle REST
Data Services
(ORDS)		3件10.0
(CVE-2026-46840)		✅ 認証不要業務システムの
REST API公開層
Oracle
E-Business Suite		12件9.9
(CVE-2026-46822/
46824)		うち3件は
✅ 認証不要		大手企業の
人事・経理・購買・
販売管理基幹
Oracle
Database Server		3件9.0
(CVE-2026-46833)		✅ 認証不要
(AC:H)		金融・公共・
大手SIer全般
Oracle
Hospitality OPERA 5		1件9.8
(CVE-2026-34311)		✅ 認証不要大手ホテルチェーン
の予約・PMS
その他
(各種)		16件
合計35件10.0

「認証不要・ネットワーク経由・リモート悪用可能」のものは、外部に晒している ORDS 経由のAPIや、社内ネットワークに侵入された後の横展開で踏まれます。とりわけ ORDS の CVSS 10.0 はシステム完全乗っ取りを意味する数字で、四半期CPUの空白期間に再現性ある悪用コードが流通したら極めて重い事案になります。

なぜ Oracle は四半期から月次へ切り替えたのか

Oracle の四半期 CPU は 1月・4月・7月・10月の第3火曜日に固定されてきた、業界標準の運用サイクルでした。1999年から続いたこの枠組みは、エンタープライズ顧客がパッチ適用を四半期に1度の保守作業として組み込みやすいというメリットがありました。

しかし、2025年夏から秋にかけて状況が一変します。Cl0p ランサムウェアグループが Oracle E-Business Suite の Concurrent Processing コンポーネントにあるゼロデイ(後に CVE-2025-61882 として採番、CVSS 9.8)を大量悪用し、複数の大手企業から大量のデータを窃取しました。Oracle が緊急アラートを出し、CISAも KEV(Known Exploited Vulnerabilities)カタログに追加しましたが、次のCPUまでの間にOracle E-Business Suiteを動かす世界中の企業が「いま手を打つ手段がない」状態に置かれました。

月次CSPU化は、このギャップを「最大30日」に縮める打ち手です。Oracle公式の発表は「より小さく、より集中したフォーマット」と表現していますが、運用側から見れば「四半期ごとの大掃除型パッチ」から「月次の小規模パッチ」への切り替えで、年12回の保守ウインドウ確保とテスト計画再構築が必須になります。Oracle は同時に、Anthropic の Claude と OpenAI のモデルを脆弱性検出と対応に組み込んでいることも明らかにしました。AI による検出スピード向上が月次化の前提条件にあるという読み方ができます。

既存の四半期CPUは残り、月次CSPUと併存します。次のCPUは2026年7月の予定で、それまでの間は5月CSPU、6月CSPU、そして7月CPUの3本立てで運用される計画です。

CVSS 10.0 のCVE-2026-46840(ORDS)が今回最重要な理由

CVSS 10.0 は CVSS v3.1 の理論上の最大値で、すべての評価軸が最悪値で揃ったときにだけ出ます。具体的には、AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H =ネットワーク経由・複雑度低・認証不要・ユーザー操作不要・スコープ変更・機密性/完全性/可用性すべて高インパクト、というプロファイルです。

Oracle REST Data Services(ORDS)は、Oracle Database のテーブル・ビュー・ストアドプロシージャをそのまま REST API として公開するための公式ゲートウェイです。多くの企業が「社内DB → 外向きAPI」「社内Webアプリ → DB」のインターフェース層として ORDS を採用しており、影響範囲は ORDS そのものではなくORDSが繋がっているOracle Database本体に波及します。S:C(スコープ変更)が立っているのは、まさにこの波及を示しています。

影響バージョンは 24.2.0〜26.1.0。ORDS は組織によっては DMZ や外向きロードバランサ配下に置かれているケースが多く、外から触れる場所に CVSS 10.0 の穴があるという構図は、認証不要での完全乗っ取りを意味します。修正パッチは Oracle My Oracle Support 配下で配布されており、登録済み顧客は今すぐ My Oracle Support にログインして Patch Set Update を確認してください。

攻撃者像と狙い — 月次化初回を待ち構えていた相手

Oracle 製品の運用を狙う攻撃者は、過去1年で Cl0p を筆頭にプロ化が進みました。今回のCSPU第1弾を「公開された瞬間にPoC化レースの号砲が鳴った」と捉えている層が、誰で、何を狙い、どこまで持っていくのかを具体的に並べます。

この穴の値踏みをしている層は、Cl0p および Cl0p の後継を名乗る東欧系ランサムウェア・アフィリエイト、Oracle E-Business Suite を運用する日系・米系大手企業の財務・人事データを狙う産業スパイ集団、ホテルチェーンの予約・カード情報を狙うクレジットカード詐欺グループ、そして Oracle Database の本番データをまるごと身代金交渉材料にしたい二重恐喝オペレーターといった、特定の被害者像を頭に描いている人間たちです。彼らが ORDS や E-Business Suite から持ち出したいのは抽象的な「機密情報」ではありません。日本企業の場合は、人事DBの全従業員給与・賞与レコード、購買DBの取引先マスタと支払サイト条件、販売管理DBの未公開受注残、原価計算モジュールの社内利益率、稟議・電子契約のスキャンPDF、そして経理の銀行口座振込テンプレートです。今回のCSPU 35件のうち外向きに刺さるものを1本踏ませた瞬間、上記のレコードが攻撃者の手元に複製されます。

事前偵察は驚くほど機械化されています。Shodan で ords//OA_HTML/ の文字列を含むレスポンスを叩けば E-Business Suite と ORDS の公開インスタンスがリスト化でき、そこに Oracle CSPU の公開日と公開コンポーネント名を突き合わせれば「今晩から1週間以内に試すべきターゲット」が機械的に決まります。Cl0p 系は2025年の Oracle E-Business Suite 攻撃で、PoCも公開されていない段階から本番システムへの実弾投入を実証済みで、今回もCSPU公開からPoC流通までの時差を「攻撃者の優位な時間」として刈り取ろうとしています。月次化はこの時差を縮める打ち手ですが、逆に「月初1週間が一斉に危ない期間」になる側面もあります。

CVSS 10.0 という数字は1台のサーバを奪われる技術的な最大値です。日本の大手企業や中堅SIerが本当に失うのは、勘定系の月次締めデータ、株主総会前の未公開財務情報、業界トップシェアの製品原価、5年契約のSAP/Oracle置換プロジェクト計画書、そしてホテルチェーンであれば数百万人分のロイヤリティプログラム会員情報と滞在履歴です。四半期CPUの空白期間を狙われた2025年のCl0p禍を経験した運用チームほど、今回のCSPU月次化第1回を「対岸の話」と読まないはずです。

攻撃の届く先 — 運用パターン別の3層境界表

日本の典型的なOracle運用パターン別に、今回のCSPUで届くもの・届かないものを整理します。読者の自分ごと判定を最速化するためのテーブルです。

運用パターン今回のCSPUで
届くもの		届かないもの
(別CVEが必要)
中堅SIerが
多数顧客を
受託運用		✅ DMZ 配置の
 ORDS インスタンス
✅ 顧客E-Business Suiteの
 Payments / Procurement
✅ Oracle Database
 接続文字列		❌ 顧客社内のADF認証
❌ 別系統SIerが運用
 する隣接システム
大手企業の
基幹業務システム
(自社運用)		✅ 人事・経理・購買・
 販売管理の全マスタ
✅ 月次締めデータ
✅ 銀行振込
 テンプレート
✅ 業績指標		❌ ハイパーバイザ
❌ Active Directory
 (egress制御次第
 で届く可能性あり)
ホテル/旅行業の
OPERA 5 運用		✅ 全予約レコード
✅ 滞在履歴
✅ ロイヤリティ
 プログラム会員DB
✅ チェックイン/
 アウトログ		❌ PCI DSS
 準拠カード保管庫
 (別トークン化層
 を経由した場合)

特に SIer による多数顧客の集中受託運用は、1つの ORDS インスタンスが踏まれただけで複数顧客のデータベース接続文字列が一度に流出する構造になりがちです。受託契約上の責任分界点を考えると、SIer 側の対応スピードがそのまま顧客への賠償リスクに直結します。

今回のCritical CVE 個別解説

CVSS 9.0 以上の主要CVEを個別に解説します。各CVEの公式詳細は Oracle 公式アドバイザリを参照してください。

CVE-2026-46840: ORDS の認証不要RCE(CVSS 10.0)

Oracle REST Data Services 24.2.0〜26.1.0 を直撃する CVSS 10.0 のRCE系脆弱性。AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H。HTTPS経由で認証なし悪用可能、スコープ変更により ORDS が繋がっている Oracle Database 本体まで影響が波及します。今回のCSPUで最優先パッチ対象です。

CVE-2026-46775: ORDS の認証あり完全乗っ取り(CVSS 9.9)

同じく ORDS 24.2.0〜26.1.0。低権限の認証ユーザーが ORDS をHTTPS経由で完全乗っ取り可能。CVE-2026-46840 とセットでパッチ適用を。

CVE-2026-46839: ORDS の権限昇格(CVSS 9.9)

ORDS 24.2.0〜26.1.0 の3件目。低権限ユーザーから機密性・完全性・可用性すべてに高インパクトのアクセスが取れます。ORDSはこれで今回3件、いずれも CVSS 9.9 以上。

CVE-2026-46822: E-Business Suite iAssets(CVSS 9.9)

Oracle E-Business Suite 12.2.3〜12.2.15 の iAssets コンポーネント(固定資産管理)に対する HTTP 経由のRCE。低権限ユーザーから完全乗っ取り。日本の上場企業の財務システムで広く使われている領域。

CVE-2026-46824: E-Business Suite Universal Work Queue(CVSS 9.9)

同じく E-Business Suite 12.2.3〜12.2.15 の Universal Work Queue(業務キュー管理)。Work Provider Site Level Administration が侵入経路。S:C(スコープ変更)が立っているため、Universal Work Queue 自体を超えて隣接コンポーネントにも影響する設計上の警告が含まれます。

CVE-2026-46817: E-Business Suite Payments(CVSS 9.8)

Oracle E-Business Suite 12.2.3〜12.2.15 の Payments コンポーネント(決済処理)の File Transmission に対する認証不要のリモート攻撃。HTTP経由で完全乗っ取り、機密性・完全性・可用性すべて高インパクト。決済処理を扱う性質上、攻撃成功時の被害は他のE-Business Suite系より大きい。

CVE-2026-46819: E-Business Suite Internet Procurement Connector(CVSS 9.1)

同じくE-Business Suite 12.2.3〜12.2.15、Internet Procurement Connector(インターネット調達コネクタ)。認証不要のリモート攻撃で、重要データの作成・削除・更新が可能。可用性は無傷(A:N)ですが、購買データ書換は財務監査上のリスクが大きい。

CVE-2026-46833: Oracle Database Server Net Service(CVSS 9.0)

Oracle Database Server 23.4.0〜23.26.2 の Net Service コンポーネント。TLS 経由のネットワーク攻撃、認証不要だが攻撃複雑度は高(AC:H)。S:C でスコープ変更があり、Oracle Database 自体に届くため金融・公共・大手SIerが優先する案件。

CVE-2026-34311: Hospitality OPERA 5(CVSS 9.8)

Oracle Hospitality OPERA 5 Property Services 5.6.19.24 / 5.6.22 / 5.6.25.19 / 5.6.27.6 / 5.6.28 に対する認証不要のリモート攻撃。世界中の大手ホテルチェーンが採用する宿泊予約・PMS(Property Management System)の基幹で、攻撃成功時には全予約データと会員情報が抜かれます。

その他のE-Business Suite High(CVE-2026-46820/46826/46827/46837)

CVSS 8.5〜8.8 帯の E-Business Suite High が4件:Financials Common Modules (46820)、Payroll Internal Operations (46826)、Payroll Self Service Manager (46827)、Flow Manufacturing (46837)。いずれも低権限の認証ユーザーから機密性・完全性・可用性に深刻な影響、または Payroll は給与計算 → 全従業員の個人情報・口座情報へ届く性質上、日本の人事部門が即座に対応すべき案件です。

月次CSPUが現場運用に持ち込む3つの変化

月次化は単に「パッチ頻度が4倍」ではありません。現場の保守運用フローを構造的に変える3つの変化を持ち込みます。

変化四半期CPU時代月次CSPU時代
保守ウインドウ年4回、
各回大規模パッチ
(数十件まとめて)		年12回、
各回小規模パッチ
(5〜10件程度)
テスト計画四半期に1度、
2〜4週間の
本格テスト		毎月、
3〜5日の
軽量テスト
SIer委託契約四半期パッチ
適用料金(月割)		月次パッチ
適用料金見直し
必須

日本のSIerが顧客と結んでいる Oracle 保守委託契約は「四半期 CPU 適用」を前提に料金設計されているケースが多く、月次CSPU化は契約条件の再交渉トリガーになります。情シス部門は、自社契約書の「Oracleパッチ適用」項目を改めて確認したほうが安全です。

今すぐやる5つの対応

Oracle E-Business Suite、ORDS、Oracle Database を運用しているチームは、以下を順に進めてください。

#対応具体的に何をするか
1ORDS パッチ
緊急適用		My Oracle Supportで
ORDS用CSPUを取得し、
DMZ配置インスタンスを
最優先で適用。
2E-Business Suite
12.2.3〜12.2.15
確認		該当バージョン稼働中なら、
Payments / iAssets /
Universal Work Queue
のパッチ番号を確認。
3SIer委託契約の
確認		「Oracleパッチ適用」項目を
四半期前提から
月次対応に組み替える
条件交渉の準備。
4DMZ配置ORDSの
WAFルール強化		パッチ適用までの間、
ORDS APIの認証チェック
強化、不要メソッドのブロック、
レート制限を一時的に厳格化。
5月次CSPU
カレンダーの
業務化		毎月第4水曜(Oracle公式の
月次CSPU公開日)を
定例レビュー会議に組み込み、
パッチ計画を月次サイクル化。

Oracle E-Business Suiteを巡る攻撃は2025年のCl0p禍以降、攻撃者側の経済合理性が確立してしまっています。CISA KEVカタログに Oracle E-Business Suite の CVE が既に掲載されていることも踏まえ、「次の月次CSPUまで待てる事案ではない」と判断するのが妥当です。

締め — 月次化は「楽になる」ためではなく「逃げ場が減る」ため

Oracleの月次CSPU化は、ユーザー企業の保守運用を楽にする施策ではありません。むしろ「Oracle自身がCl0pレベルの攻撃者と戦う時間を、四半期から月次に切り詰めざるを得なくなった」という、防御側の苦境がはっきり表に出た転換点です。CSPU第1回でいきなりCVSS 10.0と11件のCriticalが並んだことは、Oracleが内部でAIによる脆弱性検出を強化し始めた結果、これまで見逃されていた領域が一気に露出しているという見方もできます。

日本のSIer・大手企業の情シス・基幹業務運用チームにとって、今回のCSPU は「月次サイクルにどう乗るか」という運用設計の問いそのものです。四半期パッチを前提にした保守委託契約、変更管理プロセス、テスト工数の確保 — そのすべてが、次の月次CSPU(2026年6月予定)が来る前に再設計を求められます。

そして、月次CSPUと並行して四半期CPUも継続するため、次の Oracle CPU は2026年7月予定です。5月CSPU・6月CSPU・7月CPUの3本立てで、夏が来る前にOracle運用チームは月次化への完全移行を判断することになります。

参照元