トップ/記事一覧/企業の基幹業務ソフト『Oracle EBS』にパスワード不要でサーバー乗っ取りの脆弱性 CVE-2026-46817、悪用が始まり即更新を
oracle-ebs-cve-cover-ja

企業の基幹業務ソフト『Oracle EBS』にパスワード不要でサーバー乗っ取りの脆弱性 CVE-2026-46817、悪用が始まり即更新を

大企業や官公庁の会計・決済・人事を動かす基幹業務ソフト『Oracle E-Business Suite』に、ログイン不要でサーバーを乗っ取れる脆弱性CVE-2026-46817(危険度9.8)が見つかり、すでに実際の攻撃が始まっています。世界で約950台が露出。決済情報や個人情報の流出につながるため、Oracleの2026年5月の修正を今すぐ適用してください。

ニュース2026年7月8日公開 本日更新
目次
この記事のポイント

大企業や官公庁の会計・決済・人事を動かす基幹業務ソフト『Oracle E-Business Suite』に、ログイン不要でサーバーを乗っ取れる脆弱性CVE-2026-46817(危険度9.8)が見つかり、すでに実際の攻撃が始まっています。世界で約950台が露出。決済情報や個人情報の流出につながるため、Oracleの2026年5月の修正を今すぐ適用してください。

大企業や官公庁の会計・調達・人事などをまとめて動かす基幹業務ソフト「Oracle E-Business Suite(EBS)」に、ログインなしで外部からサーバーを乗っ取れる脆弱性が見つかり、すでに実際の攻撃に使われ始めています。管理番号はCVE-2026-46817、危険度は10点満点で9.8です。

問題があるのは、企業の決済処理を担う「Oracle Payments」のファイル送受信機能です。攻撃者は特別なアカウントを一切持たず、Webの通信(HTTP)を送りつけるだけでシステムを支配できます。攻撃監視組織Shadowserverは、インターネット上に約950台のOracle EBSが露出していると観測しており、複数の調査組織が継続中の攻撃を報告しています。Oracleは2026年5月の更新プログラムで修正を出しており、EBSを外部に公開している組織は今すぐ適用してください。

脆弱性の概要

項目内容
管理番号CVE-2026-46817
対象ソフトOracle E-Business Suite
(Oracle Payments のファイル送受信機能)
影響を受ける版12.2.3 〜 12.2.15
危険度(10点満点)9.8(最高に近い)
ログインの要否不要(誰でも)
最悪の場合無認証でのサーバー乗っ取り
(情報の窃取・改ざん・破壊)
悪用状況実際の攻撃を確認
(2026年6月下旬・公開実証コードより前)
対策Oracleの2026年5月更新(CPU)を
直ちに適用する

※「危険度」は脆弱性の深刻さを10点満点で表す国際的な指標CVSS(共通脆弱性評価システム)の値です。9.8は「ログイン不要・遠隔から・完全に支配できる」条件がそろったときに付く、極めて高い数字です。

誰が狙い、どんな被害になるのか

狙ってくるのは、インターネットに公開された基幹業務システムを機械的に探し回り、企業の内部データを盗み出して金銭を要求する攻撃者です。Oracle EBSは会計や決済、調達、人事といった企業の中枢を扱うため、蓄えられているデータの価値が非常に高く、攻撃者にとって割の良い標的になります。ログインが不要なので、攻撃者は正規の利用者になりすます必要すらありません。

攻撃者がすることは、Webの通信を送りつけるだけでサーバーに侵入し、内部のファイルを次々と抜き出すことです。実際に観測された攻撃でも、標的から機微なファイルを取り出そうとする動きが確認されています。一度足がかりを得れば、追加のプログラムを送り込んで居座り、より深いデータへ手を伸ばします。

被害を受けるのは、まずEBSを運用する企業・官公庁です。決済情報や取引先データ、従業員の個人情報が流出し、そのまま「公開されたくなければ金を払え」という恐喝につながる恐れがあります。そして最終的に困るのは、その企業に個人情報や取引情報を預けている取引先や一般の利用者です。基幹業務システムを狙って大量のデータを盗み、恐喝する手口は、近年の大型情報流出事件で繰り返されてきたものと同じ構図です。

Oracle E-Business Suiteとは何か

湖越しに見える円柱形のガラス張りビル群。Oracle 旧本社の Redwood Shores キャンパス
Oracle 旧本社の Redwood Shores キャンパス(米カリフォルニア州)。Håkan Dahlström 撮影・CC BY 2.0

Oracle E-Business Suiteは、会計・購買・在庫・製造・人事・給与などの業務をひとつにまとめて動かす統合業務ソフト(ERP)です。大企業や官公庁が経営の土台として長年使ってきた製品で、日本国内でも多くの組織が導入しています。今回問題になった「Oracle Payments」は、その中で企業の支払い・決済処理を担う部品です。

こうした基幹システムは、いったん動き出すと止めにくく、更新も慎重にならざるを得ないため、脆弱性が残ったまま長く運用されがちです。しかも会社のお金と取引の中枢を握っているため、攻撃者にとっては「入れれば大きい」標的になります。Oracleの基幹製品はこれまでにも重大な脆弱性が繰り返し見つかっており、当サイトでもOracleの月次パッチで35件が公開された件や、人事給与システムPeopleSoftの緊急脆弱性を取り上げてきました。

脆弱性の詳細

CVE-2026-46817: 決済機能のファイル送受信を無認証で悪用

問題があるのは、Oracle Paymentsの「ファイル送受信(File Transmission)」機能です。NVDの解説によれば、この機能には権限管理の不備・認証の不備・重要な処理での認証欠如(CWE-269/287/306)が重なっており、ログインしていない攻撃者が、Web通信を送るだけで機密性・完全性・可用性のすべてを侵害できる状態でした。つまり、データを盗む・書き換える・壊すのすべてが可能で、システムを丸ごと乗っ取れます。

攻撃に高度な技術は要りません。攻撃の難易度は低く(AC:L)、利用者の操作も不要です。だからこそ、公開されている約950台のEBSが、そのまま無差別スキャンの対象になっています。危険度は10点満点中9.8で、Oracleの製品としては最も重い部類です。

これまでの経緯

← スワイプで移動

いま何をすべきか

対策ははっきりしています。Oracleが2026年5月の重要更新プログラム(Critical Patch Update)で出した修正を、今すぐ適用することです。すでに攻撃が始まっているため、「次のメンテナンスで」では間に合わない可能性があります。自社のEBSが対象の12.2.3〜12.2.15に該当するか、そして修正が適用済みかを、今日のうちに確認してください。

すぐに更新できない場合は、EBSの管理画面や決済関連の機能をインターネットに直接公開しない(社内網やVPNの内側に置く)ことで、無差別スキャンからの露出を減らせます。あわせて、不審なファイルアクセスや外部との通信がないか、ログの点検も必要です。実際に攻撃されている脆弱性は、米政府CISAの警告リスト(KEVダッシュボード日本語版)でも追えます。

✓ 確認済みの事実

  • Oracle EBSのOracle Paymentsに無認証で乗っ取り可能な脆弱性、危険度9.8(CVE-2026-46817
  • 影響を受けるのは12.2.3〜12.2.15。Oracleの2026年5月更新で修正済み(Help Net Security
  • 2026年6月下旬、公開実証コードより前に実際の悪用を確認(BleepingComputer
  • インターネット上に約950台のEBSが露出、継続中の攻撃を観測(Shadowserver/Security Affairs

締めに

Oracle E-Business Suiteは、会社のお金と取引の中枢を動かすシステムです。そこがログインなしで乗っ取られるということは、決済情報や個人情報がまとめて外に流れ出す事態に直結します。しかも今回は、実証コードが公開される前から攻撃が始まっていました。「攻撃者はパッチの中身を解析して、公開情報を待たずに動く」という現実を、あらためて示す事例です。

やるべきことは、5月の修正を今すぐ当てること、そしてEBSを不用意に外部公開しないことです。基幹業務システムは止めにくいからこそ後回しにされがちですが、止められないシステムほど、乗っ取られたときの被害は大きくなります。自社のEBSの状態を、今日確認してください。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go