2025年7月16日、Tenable社の研究者Liv Matanが、Oracle Cloud Infrastructure(OCI)Code Editorの重要な脆弱性を発見したと報告した。
この脆弱性はクロスサイトリクエストフォージェリ(CSRF)チェックの欠如によるリモートコード実行の問題である。Code EditorはOCI内のブラウザベース統合開発環境で、Cloud Shellのコマンドライン環境と同一のファイルシステムとユーザーセッションデータを共有している。攻撃者は悪意のあるWebページを作成し、認証されたOCIユーザーがアクセスすることで、ユーザーの知らない間にCode Editorに悪意のあるファイルをアップロードできる状態だった。
この脆弱性により、攻撃者はCloud Shellを乗っ取り、Resource Manager、Functions、Data Scienceなどの統合OCI開発者サービスにも影響を与える可能性があった。Oracle社はx-csrf-tokenヘッダーを要求するCSRF保護を実装して修正済みである。
From: 
Oracle Fixes Critical Bug in Cloud Code Editor
【編集部解説】
この脆弱性は、クラウドサービスにおける統合型アーキテクチャの「見えない危険性」を浮き彫りにした重要な事例です。一見無害に見えるブラウザベースの開発環境が、実は企業の重要なクラウドインフラ全体への侵入口となっていたことが判明しました。
CSRF攻撃の巧妙な仕組み
今回の脆弱性の核心は、クロスサイトリクエストフォージェリ(CSRF)と呼ばれる攻撃手法にあります。Oracle Code Editorでは、/file-uploadエンドポイントにCSRF保護が適切に実装されておらず、認証クッキーのCS-ProxyChallengeがSameSite=None属性で設定されていました。これにより、任意のWebサイトから認証されたユーザーのセッションを悪用してファイルアップロードが可能になっていました。
攻撃者は悪意のあるWebページを作成し、Oracle Cloud Infrastructureにログインしているユーザーがそのページにアクセスするだけで、ユーザーの知らないうちに悪質なファイルをアップロードできる状況が生まれていました。
統合型クラウドサービスの落とし穴
この事案が特に深刻なのは、Oracle Cloud Infrastructureの緊密な統合アーキテクチャにあります。Code EditorとCloud Shellは同じファイルシステムを共有しているため、一つのサービスが侵害されると、関連する他のサービスも連鎖的に影響を受ける構造になっていました。
具体的には、攻撃者が.bashrcファイルを改ざんしてリバースシェルを確立し、Cloud Shellを乗っ取った後、Resource Manager、Functions、Data Scienceといった統合OCI開発者サービスにも横展開できる可能性がありました。これは、現代のクラウドサービスにおける「Jenga効果」と呼ばれる現象で、一つのブロックが崩れると全体が不安定になるリスクを示しています。
開発者ツールに対する認識の転換
従来、ブラウザベースの開発環境は「サンドボックス化された安全な空間」として認識されがちでした。しかし、今回の事例は、開発ツールも本番システムと同等のセキュリティ対策が必要であることを明確に示しています。
特に、クラウドネイティブな開発環境では、開発ツールが直接本番インフラとつながっているため、開発環境の脆弱性が即座に本番環境への脅威となる可能性があります。
長期的なセキュリティ影響
この脆弱性修正により、Oracle社はx-csrf-tokenヘッダーを要求するCSRF保護を実装しました。これは業界標準的な対策ですが、より重要なのは、クラウドプロバイダーが統合型サービスの設計段階からセキュリティを考慮する必要性が改めて認識されたことです。
今後のクラウドサービス開発においては、個別のサービスセキュリティだけでなく、統合環境全体のセキュリティアーキテクチャを包括的に検討する必要があります。
企業への実践的な示唆
この事案は、企業のクラウド戦略に重要な教訓を与えています。特に、統合型クラウドサービスを活用する際は、一つのサービスの脆弱性が他のサービスに波及するリスクを考慮した設計が不可欠です。
また、開発者がクラウド環境で作業する際の認識も変える必要があります。ブラウザベースの開発環境であっても、本番環境と同等のセキュリティ意識を持つことが重要となってきました。
【用語解説】
リモートコード実行(RCE)
攻撃者が標的システム上で任意のコードを実行できる脆弱性。システムの完全な制御を可能にする最も危険な脆弱性の一つである。
クロスサイトリクエストフォージェリ(CSRF)
認証されたユーザーが知らない間に、攻撃者が用意した悪意のあるWebサイトを通じて、別のWebアプリケーションで意図しない操作を実行させる攻撃手法。
統合開発環境(IDE)
プログラムの開発に必要なツール群を一つのアプリケーションに統合したソフトウェア。コードエディタ、コンパイラ、デバッガなどが含まれる。
SameSite属性
Webブラウザのクッキーに設定される属性で、クロスサイトリクエストでのクッキー送信を制御する。SameSite=Noneは最も制限が緩い設定である。
横展開(Lateral Movement)
攻撃者がシステムに侵入した後、そのシステムから他の関連システムへとアクセス範囲を拡大していく攻撃手法。
【参考リンク】
Oracle Cloud Infrastructure(OCI)(外部)
Oracle社が提供するクラウドプラットフォーム。AI、機械学習、エンタープライズアプリケーションなどのクラウドサービス
Tenable(外部)
コロンビア州メリーランド州を拠点とするサイバーセキュリティ企業。脆弱性スキャナー「Nessus」で有名
Oracle Critical Patch Update – 2025年7月(外部)
Oracle社が発行する月次セキュリティアップデート情報。各種製品の脆弱性修正情報を包括的に提供
【参考動画】
【参考記事】
OCI, Oh My: Remote Code Execution on Oracle Cloud Shell and Code Editor Integrated Services(外部)
Tenable社による詳細な技術レポート。脆弱性の発見経緯、攻撃手法、修正内容を包括的に解説
Drive-By Attack Vector Patched in Oracle Code Editor(外部)
Bank Info Security誌による報道記事。Oracle社のCSRF保護実装による修正対応について報告
【編集部後記】
皆さんは日頃、どのようなクラウドサービスを利用されていますか?今回のOracle事案を見ると、私たちが「便利」だと感じるサービス統合が、実は新たなセキュリティリスクを生み出していることがわかります。特に開発者の方々にとって、ブラウザベースの開発環境は日常的なツールになっていますが、その裏側でどのような仕組みが動いているか、考えてみたことはありますか?また、企業でクラウドサービスを選定する際、機能性や使いやすさと同時に、統合型アーキテクチャのセキュリティリスクをどの程度重視すべきでしょうか?この事案から見えてくるのは、テクノロジーの進歩と安全性のバランスという永遠のテーマです。皆さんの職場や開発現場では、どのような対策を取られているのでしょうか?ぜひご意見をお聞かせください。
