Oracle Identity Managerに事前認証なしで侵入可能になる欠陥：セキュリティニュースアラート

Oracle Identity Managerに事前認証なしで侵入可能となる欠陥が見つかった。旧来の処理構成に残った判定の甘さが進入経路となり、特定の解析手順を通じて内部動作を誘発できる状況が発見されている。

[後藤大地，ITmedia]

　Searchlight Cyberは2025年11月20日（現地時間）、「Oracle Identity Manager」に、事前認証なしで遠隔操作を許す欠陥を発見したと発表した。

　本件は同社が年初の調査過程で着目した領域を深掘りした結果生まれた成果であり、「Oracle Cloud Infrastructure」（OCI）の認証基盤を襲った侵害事案の再発を防ぐためにも重要な意味を持つ。該当ソフトは多層構造を備えており、膨大な構成要素を含むため、挙動解析には多くの工程が必要とされる。

Oracle Identity Managerに遠隔操作を許す脆弱性

　本件の背景には、年初に判明した大規模情報流出事案がある。OCIの認証基盤が古い欠陥を基点に侵害され、多数の利用者記録が不正取得されている。この一件は事業者自身が自社製品の旧構成を運用していた点に問題があり、認証基盤の更新と保守が組織規模を問わず不可欠になっていることを示した。今回発見されている欠陥は、同様の構成を持つ環境でも発生し得るものであり、外部の多くの団体に影響し得る。

　調査担当者は対象製品の内部構造を抽出し、各種構成要素に段階的に踏み込んだ。多数のモジュールが連結する大型基盤であるため、入り口を特定する工程が最大の障壁となった。調査班は過去の挙動履歴を手掛かりに特定の画面構成から逆算し、関連する要素群を探索した。その結果、認証処理を担う範囲に不整合と呼ぶべき箇所があることが浮上したとされる。

　問題の中心は、旧来型の集中管理方式による認証処理にあった。特定の文字列条件が満たされるだけで保護範囲を抜けられる構造となっており、慎重に要求経路を組み立てれば保護措置を回避できてしまう。経路末尾に特定の付記を加えるだけで認証判定が外れてしまう実装が見つかっている。この挙動は長期間にわたり維持されていたと推測され、内部仕様の複雑さが不備の発見を難しくしていたと考えられる。

　保護回避が成立した後の影響範囲は広い。特定の機能には入力内容を解析する仕組みが含まれており、外部者が加工した内容を送り込むことで内部処理を意図的に動作させられる可能性があった。通常は実行されないはずの工程を、設計段階の特性を突いて動かす手法が存在したため、実行結果が外部に到達する状態が再現されている。こうした振る舞いは、旧来型の基盤が持つ弱点が表面化した例といえる。

　今回の成果は、複雑な基盤に潜む欠陥を早期に捉えることの重要性を示している。調査班は長年の訓練と経験を踏まえて、想定外の道筋から事象を再現する方法を確立した。この発見により外部利用者は事象公表前の段階から防御措置を準備でき、危険領域を回避する期間を確保できた。継続的観測と自動化されている外部監視を組み合わせることで、未知の事象に備える体制構築が進んでいる。