Oracle EBS脆弱性CVE-2026-46817悪用 KEV追加の要点

脆弱性・脅威情報

【更新 2026-07-18】本記事を見直し、修正しました。主な修正点:悪用開始時期を「直近の週末」から「2026年6月下旬の週末」に、パッチ公開から悪用開始までの期間を「約2か月」から「約1か月」に訂正。Shadowserverが追跡する公開インスタンス数を最新値(約950件/2026年7月1日時点)に更新。

米CISA(サイバーセキュリティ・インフラセキュリティ庁)は2026年7月15日、Oracle E-Business Suite(EBS)の脆弱性「CVE-2026-46817」と、ビル設備制御に使われるKNXプロトコルの脆弱性「CVE-2023-4346」の2件を、実際の攻撃での悪用を確認したとして悪用済み脆弱性カタログ(KEV)に追加しました。特にOracle EBSはCVSS 9.8の緊急レベルで、認証不要・HTTP経由で決済コンポーネントを乗っ取られる恐れがあります。EBSを利用中の組織は、2026年5月公開の修正適用状況を直ちに確認してください。

この記事でわかること

  • KEVに追加された2件の脆弱性の概要と影響範囲
  • Oracle EBS利用組織がまず確認すべきこと
  • ビル設備(KNX)という「情シスの盲点」が狙われている背景

何が起きたのか

CISAは悪用の証拠が確認された脆弱性をKEV(Known Exploited Vulnerabilities Catalog)に登録し、米連邦民間機関に期限付きの対応を義務付けています。今回追加された2件は次のとおりです。

CVE番号 対象 内容 米機関の対応期限
CVE-2026-46817 Oracle E-Business Suite(Oracle Payments) 権限管理不備。認証不要でOracle Paymentsの乗っ取りが可能 2026年7月18日
CVE-2023-4346 KNXプロトコル対応機器 アカウントロックアウト機構の欠陥。機器の消去・ロックが可能 2026年7月29日

注目すべきはOracle EBSの対応期限です。KEV追加からわずか3日という異例の短さで、CISAがこの脆弱性の危険度をどう見ているかを示すシグナルと言えます(通常は3週間程度の猶予が設定されます)。

CVE-2026-46817:Oracle EBSの決済機能が乗っ取られる

NVDの情報によると、この脆弱性はOracle EBSのOracle Payments(File Transmission機能)に存在し、影響を受けるのはバージョン12.2.3〜12.2.15です。CVSSスコアは9.8(Critical)。HTTP経由でネットワークアクセスできる攻撃者が、認証なしでOracle Paymentsを完全に乗っ取れるとされています。

修正はOracleが2026年5月(5月28日のCritical Patch Update)に公開済みです。セキュリティ企業の観測では、2026年6月下旬の週末に初めての悪用が確認されており、それ以前に公開されたPoC(実証コード)は確認されていないとのことです。つまりパッチ公開から約1か月で攻撃が始まったことになります。またShadowserverの観測では、インターネットに公開されたOracle EBSインスタンスが当初450件以上(米国と欧州で約200件)追跡され、その後の精査で約950件(2026年7月1日時点)まで増えています。

Oracle EBSをめぐっては、2025年に別の脆弱性(CVE-2025-61882)がランサムウェア集団Cl0pに悪用され、大学や報道機関を含む多数の組織でデータ窃取被害が発生した経緯があります。なお今回のCVE-2026-46817については、CISAはランサムウェア攻撃での使用は確認していないとしています。

CVE-2023-4346:ビル設備のKNX機器が「文鎮化」される

もう1件は照明・空調などのビルオートメーションで広く使われるKNXプロトコルの脆弱性です。2023年に公表された古い脆弱性ですが、今回、実際の悪用が確認されました。追加のセキュリティオプションを有効にしていない機器では、攻撃者が機器の設定を消去したうえでBCUキーを設定してロックし、正規の管理者が二度と設定変更できない状態(事実上の文鎮化)に追い込める内容です。

3年前のCVEが今になってKEV入りした事実は、「古い脆弱性でも放置されていれば狙われる」ことの実例です。攻撃者は最新のゼロデイだけでなく、対応が後回しにされがちな領域を確実に突いてきます。

情シスはまず何を確認すべきか

最優先は「自社のOracle EBSがインターネットから到達可能か」の確認です。認証不要の脆弱性は公開面(アタックサーフェス)の有無がほぼすべてを決めます。

  • Oracle EBS利用の有無とバージョン確認:12.2.3〜12.2.15が対象。2026年5月の修正適用状況を確認する
  • 外部公開の確認:EBSの管理画面・APIがインターネットから到達可能なら、パッチ適用まで公開を止めることも検討する
  • ビル設備の棚卸し:自社ビル・データセンターのKNX対応機器の有無をファシリティ部門に確認し、ネットワーク分離とセキュリティオプションの状態を把握する
  • ログの確認:EBSを公開していた場合、悪用開始時期以降の不審なアクセスがないか点検する

現場目線の課題:ビル設備は「誰の担当か」

率直に言って、KNXのようなビル設備系の脆弱性は情シスにとって最も対応しづらい領域です。空調や照明の制御機器は総務・ファシリティ部門やビルオーナー、保守ベンダーの管轄であることが多く、情シスの資産管理台帳に載っていないことも珍しくありません。「悪用が確認された」と言われても、そもそも自社にKNX機器があるのかどうかすら即答できない——これが多くの現場の実情ではないでしょうか。今回のKEV追加は、IT資産だけでなく建物側のOT機器まで含めた資産把握の必要性を突きつけるものです。まずはファシリティ部門との情報共有ルートを作ることが第一歩です。

情シスはどうすべきか

個別のパッチ対応と併せて、KEVを定点観測に組み込むことをおすすめします。CISAのKEVカタログは「実際に悪用されている」脆弱性だけを集めたリストであり、限られた人員で優先順位を付ける際の一次情報として有用です。国内ではJVNIPAのセキュリティ情報を併読すると、日本語での注意喚起を漏らさず拾えます。脆弱性管理の基本的な考え方は、当サイトの解説記事「CVEとは」「CVSSとは」も参考にしてください。

Oracle製品では今年、PeopleSoftのゼロデイ攻撃Java SEの4月CPUなど攻撃・修正が続いています。ERPや決済のような基幹系は「止められないから後回し」になりがちですが、今回のように認証不要で乗っ取られる脆弱性では、その運用そのものがリスクです。パッチ適用までの空白期間に何をすべきかも併せてご覧ください。

まとめ

  • CISAが2026年7月15日、Oracle EBS(CVE-2026-46817)とKNXプロトコル(CVE-2023-4346)の悪用を確認しKEVに追加。EBSの対応期限は異例の3日後
  • CVE-2026-46817はCVSS 9.8・認証不要で決済コンポーネントを乗っ取り可能。対象は12.2.3〜12.2.15で、2026年5月の修正適用と外部公開の有無を直ちに確認する
  • KNXは2023年の脆弱性が3年越しで悪用された。ビル設備(OT)を含む資産把握と、KEV・JVNの定点観測を運用に組み込む

出典

タイトルとURLをコピーしました