英ノッティンガム大学は2026年6月11日、サイバー犯罪グループ「ShinyHunters」が学生記録システムに不正アクセスし、現役学生と卒業生を合わせた45万4,600人超の個人情報が流出したことを正式に認めた。

何が起きたのか

ノッティンガム大学は英国のトップ20、世界トップ100に名を連ねる公立研究大学で、スタッフ7,000人・学生46,000人以上を抱える。同大学は声明の中で「著名なサイバー犯罪グループが学生記録システムにアクセスし、大量のデータが取得された」と認め、英国の情報コミッショナーオフィス(ICO)および詐欺通報窓口「Action Fraud」への報告済みであることも明らかにした。

ShinyHuntersはダークウェブの漏洩サイトで犯行を主張し、証拠として文書のアーカイブを公開。漏洩が確認された情報は以下の通りだ:

  • 氏名・自宅住所・電話番号
  • メールアドレス・IPアドレス・生年月日
  • パスポート番号
  • 民族情報・障害情報(特に機微度が高い)
  • 学籍情報・学費・支払い情報
  • クレジットカード・決済情報

同大学はマレーシア・中国のキャンパスも持ち、それら含む40GB超のデータが窃取されたとされる。侵害通知サービス「Have I Been Pwned」の独自分析でも同様の被害規模が確認されている。

本命はOracle PeopleSoft——世界100社超に拡大する組織的キャンペーン

今回の攻撃は単独事件ではない。BleepingComputerの調査によれば、ShinyHuntersはOracle PeopleSoftのクラウド・オンプレミスインスタンスを標的とした世界規模のキャンペーンを展開しており、すでに100以上の組織からデータを窃取していることが判明している。

Oracle PeopleSoftは、人事・財務・給与・サプライチェーン・調達・キャンパス管理といった大規模業務を支える基幹ソフトウェアスイートだ。大学・医療機関・政府機関・大企業など、大量の個人情報を集中管理する組織で広く導入されている。

ShinyHuntersによれば、攻撃にはゼロデイと既知の脆弱性を組み合わせた「ガジェットチェーン」が使われており、インスタンスの設定状況によって攻撃の成否が変わるという。Oracleはコメントを返していないが、アクティブに悪用されているゼロデイが存在する可能性は高く、状況を注視する必要がある。

なお英国では先週、オックスフォード大学のキャリアプラットフォームもShinyHuntersに侵害されており、5月のCanvas LMS侵害に続く同大2件目の被害となっている。英国の高等教育機関が集中的に狙われている状況だ。

日本のIT現場への影響

Oracle PeopleSoftは日本の大学・企業・官公庁でも幅広く稼働している。 今回の攻撃が特定組織のみを狙ったものではなく、PeopleSoftインスタンス全体を対象とした組織的キャンペーンである点が最大の脅威だ。

IT管理者として今すぐ確認すべき事項をまとめる:

  • PeopleSoftのバージョンとパッチ状況の即時確認: ゼロデイが含まれる可能性がある。最新セキュリティパッチの適用状況を確認し、Oracleのセキュリティアドバイザリの監視を強化する
  • 外部アクセスログの遡及調査: 不審なAPIアクセスや認証試行がないか確認する。ShinyHuntersのキャンペーンは数ヶ月単位で継続している可能性がある
  • 機微情報の保存範囲を把握する: 民族情報・障害情報・パスポート番号といったセンシティブデータの格納場所とアクセス制御が適切かを確認する
  • インシデント報告フローの整備: 日本では個人情報保護委員会への報告義務がある。漏洩が疑われた際の報告フローを今のうちに確認・整備しておく

筆者の見解

ShinyHunters自身が「すべてのシステムで攻撃が通るわけではなく、設定次第」と述べている点が今回の核心だ。裏を返せば、適切に設定されたインスタンスは防げている可能性があるということでもある。

ゼロトラストの観点からすれば、PeopleSoftのような基幹システムに対してもネットワーク層・認証層・認可層の3層で防御を組み、「外から侵入できても横移動できない設計」を徹底することが求められる。今の時代、VPNで外からのアクセスを一括遮断するだけでは不十分であることを、今回の侵害は改めて示している。

ゼロデイ+既知脆弱性の「ガジェットチェーン」という手口は、単純なパッチ管理だけでは防ぎきれない構造的な問題を示している。「今動いているから大丈夫」という感覚は、今回の被害を受けた組織も持っていたはずだ。日本のOracle PeopleSoft運用組織は、自分のインスタンスの設定と監視体制を今一度見直してほしい。

民族情報や障害情報まで含む今回の漏洩は、プライバシー被害の深刻度という意味でも極めて重大だ。技術的な対処と並行して、影響を受けた学生への迅速かつ誠実な情報提供が求められる。

出典: この記事は Nottingham University data breach affects over 450,000 students の内容をもとに、筆者の見解を加えて独自に執筆したものです。